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Gesetzentwurf 
der Bundesregierung 

Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Euro- 
päischen Pariaments und des Rates vom 6. Juii 2016 über Maßnahmen zur Ge- 
währieistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und In- 
formationssystemen in der Union 

A. Probiem und Ziel 

Am 8. August 2016 trat die Richtlinie (EU) 2016/1148 des Europäischen Parlaments 
und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen 
gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union 
(ABI. L 194 vom 19. Juli 2016, S. 1; im Folgenden; NIS-Richtlinie) in Kraft. Mit der 
Richtlinie wurden ein einheitlicher europäischer Rechtsrahmen für den EU-weiten 
Aufbau nationaler Kapazitäten für die Cyber-Sicherheit, eine stärkere Zusammenar- 
beit der Mitgliedstaaten der Europäischen Union sowie Mindestsicherheitsanforde- 
rungen an und Meldepflichten für bestimmte Dienste geschaffen. Ziel ist es, einheitli- 
che Maßnahmen festzulegen, mit denen ein hohes Sicherheitsniveau von Netz- und 
Informationssystemen in der Europäischen Union erreicht werden soll (Artikel 1 Ab- 
satz 1 der NIS-Richtlinie). Die NIS-Richtlinie ist gemäß ihrem Artikel 25 Absatz 1 bis 
zum 9. Mai 2018 in nationales Recht umzusetzen. Gemäß Artikel 5 Absatz 1 der NIS- 
Richtlinie ermitteln die Mitgliedstaaten bis zum 9. November 2018 für jeden in An- 
hang II der Richtlinie genannten Sektor und Teilsektor die Betreiber wesentlicher 
Dienste mit einer Niederlassung in ihrem Hoheitsgebiet. 

B. Lösung 

Die europarechtlichen Vorgaben wurden bezüglich der Betreiber wesentlicher Diens- 
te, in Deutschland die sogenannten Kritischen Infrastrukturen gern. § 2 Absatz 10 
BSIG, im Wesentlichen bereits durch das Gesetz zur Erhöhung der Sicherheit infor- 
mationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I S. 
1324) in deutsches Recht umgesetzt. Daher sind im Rahmen einer Anpassung des 
Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) sowie 
einer Anpassung einzelner für bestimmte Branchen der Kritischen Infrastrukturen 
vorrangiger Spezialgesetze (des Atomgesetzes (AtG), des Energiewirtschaftsgeset- 
zes (EnWG) und des Fünften Buches Sozialgesetzbuch - Gesetzliche Krankenversi- 
cherung (SGB V)) nur wenige Anpassungen erforderlich. 
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Zur Umsetzung der Vorgaben der NIS-Richtlinie werden die Befugnisse des Bundes- 
amtes für Sicherheit in der Informationstechnik (BSI) zur Überprüfung der Einhaltung 
der technischen und organisatorischen Sicherheitsanforderungen, die Nachweis- 
pflicht der Betreiber nach § 8a BSIG und die Regelungen in § 8b BSIG um Vorgaben 
für das Verfahren bei grenzüberschreitenden Vorfällen erweitert. Ergänzend werden 
Regelungen zu Mobilen Incident Response Teams (MIRTs) aufgenommen, mit de- 
nen das BSI andere Stellen bei der Wiederherstellung ihrer IT-Systeme unterstützen 
wird. Zudem wird das BSIG um eine Definition der digitalen Dienste sowie um spezi- 
elle Regelungen zu Sicherheitsanforderungen, zu Meldepflichten und zur Aufsicht im 
Hinblick auf die Anbieter digitaler Dienste ergänzt; die Bußgeldvorschriften in § 15 
werden entsprechend angepasst. 

Die in Artikel 5 der NIS-Richtlinie vorgesehene Ermittlung der Betreiber wesentlicher 
Dienste wird über die im geltenden Recht bereits vorgesehene Rechtsverordnung 
nach § 10 Absatz 1 BSIG vorgenommen. Ergänzt wird eine Ermächtigung zum Er- 
lass von Rechtsverordnungen zur Umsetzung der in Artikel 16 der NIS-Richtlinie vor- 
gesehenen Durchführungsrechtsakte. 

Die nach § 8c BSIG vorrangigen Spezialgesetze werden entsprechend den im BSIG 
mit Bezug auf den Betrieb Kritischer Infrastrukturen enthaltenen Regelungen ange- 
passt, soweit sie die Anforderungen der NIS-Richtlinie bezüglich der Betreiber we- 
sentlicher Dienste bisher unterschreiten. 

Neu eingeführt werden Regelungen bezüglich der digitalen Dienste Online- 
Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste in das BSIG. 

Zusätzlich werden mit dem Gesetzentwurf erforderliche Klarstellungen, Bereinigun- 
gen und Anpassungen bei den Unterstützungsaufgaben des BSI vorgenommen. 

C. Alternativen 

Keine. 

D. Haushaltsausgaben ohne Erfüllungsaufwand 

Keine. 

E. Erfüllungsaufwand 

E.1 Erfüllungsaufwand für Bürgerinnen und Bürger 

Für die Bürgerinnen und Bürger entsteht kein zusätzlicher Erfüllungsaufwand. 

E.2. Erfüllungsaufwand für die Wirtschaft 

Für die Betreiber von Energieversorgungsnetzen und Energieanlagen, für bestimmte 
Telekommunikationsanbieter, für die Gesellschaft für Telematikanwendungen der 
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Gesundheitskarte mbH (gematik), deren Gesellschafter die Spitzenverbände der 
Leistungserbringer und Kostenträger im nationalen Gesundheitswesen sind, sowie 
für sonstige Betreiber Kritischer Infrastrukturen entsteht ein Erfüllungsaufwand von 
maximal 8,66 Millionen Euro. 

Für die Anbieter digitaler Dienste resultiert darüber hinaus durch die Verpflichtung zur 
Einhaltung eines Mindestniveaus an IT-Sicherheit und die Einführung von Melde- 
pflichten für bestimmte IT-Vorfälle Erfüllungsaufwand. Dieser Aufwand kann im Vo- 
raus nicht quantifiziert werden, da das erforderliche Sicherheitsniveau und Melde- 
schwellen erst durch Durchführungsrechtsakte der Kommission festgelegt werden. 

Der Kreis der verpflichteten Anbieter kann derzeit nicht konkret eingegrenzt und eine 
entsprechende Zahl meldepflichtiger Anbieter digitaler Dienste benannt werden, da 
hierzu keine Erhebungen vorliegen. Es wird jedoch geschätzt, dass von den Rege- 
lungen für digitale Dienste in Deutschland zwischen 500 und 1.500 Unternehmen 
betroffen sein werden. Die konkrete Anzahl hängt jedoch auch von späteren Festset- 
zungen der Durchführungsakte der Kommission ab. Der Aufwand für die Umsetzung 
von Maßnahmen zur Sicherung technischer Einrichtungen für einzelne Anbieter kann 
im Voraus nicht quantifiziert werden, da das erforderliche Sicherheitsniveau erst 
durch Durchführungsrechtsakte der Kommission festgelegt werden wird. Da Informa- 
tionstechnik für Anbieter von digitalen Diensten das Kerngeschäft darstellt, und diese 
zudem bereits durch datenschutzrechtliche Vorgaben zur Gewährleistung eines hin- 
reichenden Niveaus an Datensicherheit verpflichtet sind, ist allerdings davon auszu- 
gehen, dass das IT-Sicherheitsniveau bei digitalen Diensten bereits hohen Anforde- 
rungen genügt. 

Auch die Anzahl der meldepflichtigen Vorfälle und der hierdurch für einzelne Anbieter 
resultierende Aufwand sind abhängig von der Festlegung konkreter Schwellenwerte 
und Meldevorgaben in Durchführungsrechtsakten der Kommission. Unter der An- 
nahme, dass pro Betreiber und Jahr sieben Meldungen eines schweren Sicherheits- 
vorfalls erfolgen, und unter Ansatz einer Kostenschätzung von 660 Euro pro Meldung 
ergeben sich Gesamtkosten für die Meldepflicht digitaler Dienste in Höhe von rund 
4,6 Mio. Euro. Kostenmindernd wird sich voraussichtlich auch hier auswirken, dass 
aufgrund datenschutzrechtlicher Vorgaben Meldestrukturen bereits vorhanden sein 
müssen. 

Davon Bürokratiekosten; 

Einzig die Meldepflichten für digitale Dienste und bestimmte Energieversorgungs- 
netzbetreiber stellen eine Informationspflicht dar, wodurch die Bürokratiekosten um 
rund 11,76 Millionen Euro steigen. 
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Die Belastungen sind nicht im Rahmen der One in, one out-Regel der Bundesregie- 
rung zu kompensieren, da diese Änderungen aus einer 1;1-Umsetzung der verbindli- 
chen Mindestvorgaben der Richtlinie (EU) 2016/1148 resultieren. 

E. 3 Erfüllungsaufwand für die Verwaltung 

Der Verwaltung entsteht für die Erfüllung der im Gesetz vorgesehenen zusätzlichen 
Aufgaben ein Aufwand von insgesamt 185,5 Planstellen/Stellen mit Personalkosten 
in Höhe von jährlich rund 14,216 Millionen Euro. 

Davon ist beim BSI ein Erfüllungsaufwand in Höhe 181,5 Planstellen/Stellen mit Per- 
sonalkosten in Höhe von jährlich rund 13,909 Millionen Euro und beim Bundesminis- 
terium des Innern (BMI) ein Erfüllungsaufwand in Höhe von 4 Planstellen/Stellen mit 
Personalkosten in Höhe von jährlich rund 420.000 Euro zu berücksichtigen. Beim BSI 
werden in geringem Umfang zusätzliche Sachkosten entstehen, die aus dem Haus- 
halt des BSI getragen werden können. 

Der Bedarf an Personalmitteln sowie Planstellen und Stellen soll finanziell und stel- 
lenmäßig im jeweiligen Einzelplan ausgeglichen werden. 

Der Erfüllungsaufwand für die Länder und Kommunen ist derzeit nicht bezifferbar. 

F. Weitere Kosten 

Betreibern Kritischer Infrastrukturen können im Sonderfall nach § 8a Absatz 3 Satz 3 
BSIG Kosten entstehen, soweit berechtigte Zweifel an der ordnungsgemäßen Einhal- 
tung der ihnen obliegenden Sicherheitsanforderungen bestehen, die eine zusätzlich 
Überprüfung vor Ort erforderlich machen. 


Bundesrepublik Deutschland 
Die Bundeskanzlerin 


Berlin, 20. Februar 2017 


An den 

Präsidenten des 
Deutschen Bundestages 
Herrn Prof. Dr. Norbert Lammert 
Platz der Republik 1 
11011 Berlin 


Sehr geehrter Herr Präsident, 

hiermit übersende ich den von der Bundesregierung beschlossenen 

Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 

2016/1148 des Europäischen Parlaments und des Rates vom 6. 

Juli 2016 über Maßnahmen zur Gewährleistung eines hohen ge- 
meinsamen Sicherheitsniveaus von Netz- und Informationssyste- 
men in der Union 

mit Begründung und Vorblatt (Anlage 1). 

Ich bitte, die Beschlussfassung des Deutschen Bundestages herbeizu- 
führen. 

Federführend ist das Bundesministerium des Innern. 

Die Stellungnahme des Nationalen Normenkontrollrates gemäß § 6 Absatz 1 
NKRG ist als Anlage 2 beigefügt. 

Der Gesetzentwurf ist dem Bundesrat am 27. Januar 2017 als besonders 
eilbedürftig zugeleitet worden. 

Die Stellungnahme des Bundesrates zu dem Gesetzentwurf sowie die Auf- 
fassung der Bundesregierung zu der Stellungnahme des Bundesrates wer- 
den unverzüglich nachgereicht. 

Mit freundlichen Grüßen 


Dr. Angela Merkel 
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Anlage 1 


Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 
des Europäischen Parlaments und des Rates vom 6. Juli 2016 über 
Maßnahmen zur Gewährleistung eines hohen gemeinsamen 
Sicherheitsniveaus von Netz- und Informationssystemen in der Union^ 

Vom ... 


Der Bundestag hat das folgende Gesetz beschlossen; 

Artikel 1 

Änderung des BSI-Gesetzes 

Das BSI-Gesetz in der Fassung der Bekanntmachung vom 14. August 2009 (BGBl. I 
S. 2821), das zuletzt durch Artikel 3 Absatz 6 des Gesetzes vom 18. Juli 2016 (BGBl. 
I S. 1666) geändert worden ist, wird wie folgt geändert: 


1 ) § 2 wird wie folgt geändert: 

a) Nach Absatz 10 folgender Absatz 1 1 eingefügt: 

„(11) Digitale Dienste im Sinne dieses Gesetzes sind Dienste im Sinne von 
Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäi- 
schen Parlaments und des Rates vom 9. September 2015 über ein Informati- 
onsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschrif- 
ten für die Dienste der Informationsgesellschaft (ABI. L 241 vom 17.9.2015, S. 
1), und die 

1 . es Verbrauchern oder Unternehmern im Sinne des Artikels 4 Absatz 1 
Buchstabe a beziehungsweise Buchstabe b der Richtlinie 2013/11/EU des Eu- 
ropäischen Parlaments und des Rates vom 21. Mai 2013 über die alternative 
Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Verord- 
nung (EG) Nr. 2006/2004 und der Richtlinie 2009/22/EG (Richtlinie über alter- 


* Dieses Gesetz dient der Umsetzung der Richtlinie (EU) 2016/1 148 des Europäischen Parlaments und des Ra- 
tes vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von 
Netz- und Informationssystemen in der Union (ABI. L 194 vom 19.7.2016, S.1). 
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native Streitbeilegung in Verbraucherangelegenheiten) (ABI. L 165 vom 
18.6.2013, S. 63) ermöglichen, Kaufverträge oder Dienstleistungsverträge mit 
Unternehmern entweder auf der Website dieser Dienste oder auf der Website 
eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste 
verwendet, abzuschließen (Online-Marktplätze); 

2. es Nutzern ermöglichen, Suchen grundsätzlich auf allen Websites oder auf 
Websites in einer bestimmten Sprache anhand einer Abfrage zu einem belie- 
bigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen 
Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage 
entsprechende Inhalte abgerufen werden können (Online-Suchmaschinen); 

3. den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutz- 
barer Rechenressourcen ermöglichen (Cloud-Computing-Dienste), 

und nicht zum Schutz grundlegender staatlicher Funktionen eingerichtet wor- 
den sind oder für diese genutzt werden.“ 

b) Nach Absatz 1 1 wird folgender Absatz 12 eingeführt: 

„Anbieter digitaler Dienste“ im Sinne dieses Gesetzes ist eine juristische 
Person, die einen digitalen Dienst anbietet.“ 

2) § 3 Absatz 1 Satz 2 wird wie folgt geändert: 

a) Nummer 13 Buchstabe b) wird wie folgt geändert: 

Nach dem Wort "Verfassungsschutzbehörden" werden die Wörter "und des 
Militärischen Abschirmdienstes" und nach dem Wort "der Länder" die Wör- 
ter "beziehungsweise dem Gesetz über den Militärischen Abschirmdienst" 
eingefügt. 

b) Nach Nummer 13 wird folgende Nummer 13a eingefügt: 

„13a. auf Ersuchen der zuständigen Stellen der Länder Unterstützung die- 
ser Stellen in Fragen der Abwehr von Gefahren für die Sicherheit in der In- 
formationstechnik;“. 

c) Nummer 17 wird wie folgt geändert: 

Die Angabe „und 8b“ wird durch die Angabe „bis 8c“ und der Punkt am En- 
de wird durch die Wörter „und digitaler Dienste;“ ersetzt. 

d) Folgende Nummer 18 wird angefügt: 

„18. Unterstützung bei der Wiederherstellung der Sicherheit oder Funkti- 
onsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen 
nach § 5a.“ 
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3) § 5 wird wie folgt geändert: 

a) Absatz 5 wird wie folgt geändert: 

aa) In Satz 2 Nummer 2 werden nach dem Wort "Verfassungsschutz" die 
Wörter "sowie an den Militärischen Abschirmdienst, wenn sich diese Tätig- 
keiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbe- 
reich des Bundesministeriums der Verteidigung richten." eingefügt. 

bb) Es wird folgende Nummer 3 angefügt: 

„3. zur Unterrichtung über Tatsachen, die einen internationalen kriminellen, 
terroristischen oder staatlichen Angriff mittels Schadprogrammen oder ver- 
gleichbaren schädlich wirkenden informationstechnischen Mitteln auf die 
Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von 
erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland erken- 
nen lassen, an den Bundesnachrichtendienst.“ 

b) Absatz 6 wird wie folgt geändert: 
aa) Satz 1 wird wie folgt geändert: 

aaa) In Nummer 3 werden nach dem Wort "Länder" die Wörter "sowie an 
den Militärischen Abschirmdienst" und nach dem Wort "Bundesverfas- 
sungsschutzgesetzes" die Wörter "beziehungsweise § 1 Absatz 1 des Ge- 
setzes über den Militärischen Abschirmdienst" eingefügt. 

bbb) Es wird folgende Nummer 4 angefügt: 

„an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für 
den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Num- 
mer 8 des Artikel 10-Gesetzes plant, begeht oder begangen hat und dies 
von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik 
Deutschland ist.“ 

bb) In Satz 5 wird nach der Angabe „Nummer 3“ die Angabe „und Nummer 
4“ eingefügt. 

4) Nach § 5 wird folgender § 5a eingefügt: 

„§ 5a 

Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechni- 
scher Systeme in herausgehobenen Fällen 

(1) Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktions- 
fähigkeit eines informationstechnischen Systems einer Stelle des Bundes oder 
eines Betreibers einer Kritischen Infrastruktur um einen herausgehobenen 
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Fall, so kann das Bundesamt auf Ersuchen der betroffenen Stelle oder des be- 
troffenen Betreibers die Maßnahmen treffen, die zur Wiederherstellung der Si- 
cherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Sys- 
tems erforderlich sind. Soweit das Bundesamt erste Maßnahmen zur Scha- 
densbegrenzung und Sicherstellung des Notbetriebes vor Ort ergreift, werden 
hierfür keine Gebühren oder Auslagen für die Tätigkeit des Bundesamtes er- 
hoben. Fliervon unberührt bleiben etwaige Kosten für die Hinzuziehung qualifi- 
zierter Dritter. 

(2) Ein herausgehobener Fall nach Absatz 1 liegt insbesondere dann vor, 
wenn es sich um einen Angriff von besonderer technischer Qualität handelt 
oder die zügige Wiederherstellung der Sicherheit oder Funktionsfähigkeit des 
betroffenen informationstechnischen Systems von besonderem öffentlichem 
Interesse ist. 

(3) Das Bundesamt darf bei Maßnahmen nach Absatz 1 personenbezogene 
oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten, 
soweit dies zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des 
betroffenen informationstechnischen Systems erforderlich und angemessen 
ist. Die Daten sind unverzüglich zu löschen, sobald sie für die Wiederherstel- 
lung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Sys- 
tems nicht mehr benötigt werden. Wenn die Daten in Fällen des Absatzes 4 an 
eine andere Behörde zur Erfüllung von deren gesetzlichen Aufgaben weiter- 
gegeben worden sind, darf das Bundesamt die Daten abweichend von Satz 2 
bis zur Beendigung der Unterstützung dieser Behörden weiterverarbeiten. Ei- 
ne Nutzung zu anderen Zwecken ist unzulässig. § 5 Absatz 7 ist entsprechend 
anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgeset- 
zes anzuwenden. 

(4) Das Bundesamt darf Informationen, von denen es im Rahmen dieser Vor- 
schrift Kenntnis erlangt, nur mit Einwilligung des Ersuchenden weitergeben, es 
sei denn, die Informationen lassen keine Rückschlüsse auf die Identität des 
Ersuchenden zu oder die Informationen können entsprechend § 5 Absatz 5 
und 6 übermittelt werden. Zugang zu den in Verfahren nach Absatz 1 geführ- 
ten Akten wird Dritten nicht gewährt. 

(5) Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilli- 
gung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur 
rechtzeitigen oder vollständigen Wiederherstellung der Sicherheit oder Funkti- 
onsfähigkeit des betroffenen informationstechnischen Systems erforderlich ist. 
Die hierdurch entstehenden Kosten hat der Ersuchende zu tragen. Das Bun- 
desamt kann den Ersuchenden auch auf qualifizierte Dritte verweisen. Das 
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Bundesamt und vom Ersuchenden oder vom Bundesamt nach Satz 1 beauf- 
tragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilli- 
gung des Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend. 

(6) Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des 
informationstechnischen Systems erforderlich ist, kann das Bundesamt vom 
Hersteller des informationstechnischen Systems verlangen, an der Wiederher- 
stellung der Sicherheit oder Funktionsfähigkeit mitzuwirken. 

(7) In begründeten Einzelfällen kann das Bundesamt auch bei anderen als den 
in Absatz 1 genannten Einrichtungen tätig werden, wenn es darum ersucht 
wurde und es sich um einen herausgehobenen Fall im Sinne des Absatzes 2 
handelt. 

(8) Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem 
Atomgesetz bedürfen, ist in Fällen der Absätze 1, 4, 5 und 7 vor Tätigwerden 
des Bundesamtes das Benehmen mit den zuständigen atomrechtlichen Auf- 
sichtsbehörden des Bundes und der Länder herzustellen. Im Falle von Anla- 
gen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, 
haben bei Maßnahmen des Bundesamtes nach § 5a die Vorgaben aufgrund 
des Atomgesetzes Vorrang.“ 

5) In § 7a Absatz 1 Satz 1 werden die Wörter „Nummer 1, 14 und 17“ durch die 
Wörter „Nummer 1, 14, 17 und 18“ ersetzt. 

6) § 8a wird wie folgt geändert: 

a) Absatz 3 wird wie folgt geändert: 

aa) In Satz 3 werden die Wörter „eine Aufstellung“ durch die Wörter „die Er- 
gebnisse“ ersetzt. 

bb) Satz 4 wird durch die folgenden Sätze ersetzt: 

„Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung 
zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Ein- 
vernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Be- 
nehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Si- 
cherheitsmängel verlangen.“ 

b) Nach Absatz 3 wird folgender Absatz 4 eingefügt: 
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„(4) Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhal- 
tung der Anforderungen nach Absatz 1 überprüfen; es kann sich bei der 
Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten be- 
dienen. Der Betreiber Kritischer Infrastrukturen hat dem Bundesamt und den 
in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Be- 
treten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten 
zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, 
Schriftstücken und sonstigen ünterlagen in geeigneter Weise vorzulegen, 
Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die 
Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweili- 
gen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund 
von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhal- 
tung der Anforderungen nach Absatz 1 begründeten.“ 

c) Der bisherige Absatz 4 wird Absatz 5. 

7) § 8b wird wie folgt geändert: 

a) Absatz 2 Nummer 4 wird wie folgt geändert; 

aa) In Buchstabe b wird das Wort „sowie“ durch ein Komma ersetzt, 
bb) In Buchstabe c wird das Wort „sowie“ angefügt, 
cc) Folgender Buchstabe d wird angefügt: 

„d) die zuständigen Behörden eines anderen Mitgliedstaates der Europäi- 
schen Union über nach Absatz 4 oder nach vergleichbaren Regelungen 
gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitglied- 
staat haben,“. 

b) In Absatz 3 Satz 1 werden die Wörter „Kommunikationsstrukturen nach § 3 
Absatz 1 Satz 2 Nummer 15“ durch die Wörter „von ihnen betriebenen Kri- 
tischen Infrastrukturen“ ersetzt. 

c) Absatz 4 wird wie folgt geändert; 

aa) Satz 1 wird wie folgt gefasst: 

„Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unver- 
züglich über die Kontaktstelle an das Bundesamt zu melden; 

1. Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit 
ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die 
zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funkti- 
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onsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt 
haben, 

2. erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Ver- 
traulichkeit ihrer informationstechnischen Systeme, Komponenten oder 
Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung 
der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen 
führen können." 

bb) Satz 2 wird wie folgt geändert; 

aaa) Nach den Wörtern „Angaben zu der Störung“ werden die Wörter ,„ zu 
möglichen grenzübergreifenden Auswirkungen“ eingefügt, 
bbb) Die Wörter „Branche des Betreibers“ werden durch die Wörter „er- 
brachten kritischen Dienstleistung und zu den Auswirkungen der Störung 
auf diese Dienstleistung“ ersetzt. 

8) Nach § 8b wird folgender § 8c eingefügt: 

„§ 8c 

Besondere Anforderungen an Anbieter digitaler Dienste 

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige techni- 
sche und organisatorische Maßnahmen zu treffen, um Risiken für die Sicher- 
heit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen 
Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben 
Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf in- 
nerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder 
die Auswirkungen so gering wie möglich zu halten. 

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und 
Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung 
des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssys- 
teme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist 
folgenden Aspekten Rechnung zu tragen: 

1 . der Sicherheit der Systeme und Anlagen, 

2. der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen, 

3. dem Betriebskontinuitätsmanagement, 

4. der Überwachung, Überprüfung und Erprobung, 

5. der Einhaltung internationaler Normen. 
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Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der 
Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher be- 
stimmt. 

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche 
Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäi- 
schen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt 
zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicher- 
heitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission 
nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung 
insbesondere der folgenden Parameter näher bestimmt: 

1 . die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere 
der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benöti- 
gen; 

2. die Dauer des Sicherheitsvorfalls; 

3. das von dem Sicherheitsvorfall betroffene geographische Gebiet; 

4. das Ausmaß der Unterbrechung der Bereitstellung des Dienstes; 

5. das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tä- 
tigkeiten. 

Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter 
keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, 
um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern 
nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 ent- 
sprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 
Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach 
Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen 
Mitgliedsstaat der Europäischen Union haben, hat das Bundesamt die zustän- 
dige Behörde dieses Mitgliedsstaats zu unterrichten. 

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die An- 
forderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten 
der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und 
des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kom- 
mission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, 
kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnah- 
men verlangen; 
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1. die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Infor- 
mationssysteme erforderlichen Informationen, einschließlich Nachweisen über 
ergriffene Sicherheitsmaßnahmen; 

2. die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 
bestimmten Anforderungen. 

Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem 
Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der 
Europäischen Union vorgelegt werden. 

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertre- 
ter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der 
Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufga- 
ben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaates zu- 
sammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnah- 
men in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.“ 

9) Der bisherige § 8c wird § 8d und wird wie folgt geändert: 

a) In Absatz 1 Satz 2 werden nach der Angabe „Absatz 4“ die Wörter „des 
Anhangs” eingefügt. 

b) Dem Absatz 2 Nummer 2 werden die Wörter „soweit sie den Regelungen 
des § 11 des Energiewirtschaftsgesetzes unterliegen,“ angefügt. 

c) Absatz 3 wird wie folgt geändert: 

aa) In Nummer 2 werden die Wörter „im Sinne des Energiewirtschaftsge- 
setzes“ durch die Wörter „soweit sie den Regelungen des § 1 1 des Ener- 
giewirtschaftsgesetzes unterliegen,“ ersetzt. 

bb) In dem Satzteil vor Nummer 1 und in Nummer 5 werden jeweils die 
Wörter „Absatz 3 bis 5“ durch die Angabe „Absatz 4“ ersetzt. 

d) Die folgenden Absätze 4 und 5 werden angefügt: 

„(4) § 8c Absatz 1 bis 3 gilt nicht für Kleinstunternehmen und kleine Unter- 
nehmen im Sinne der Empfehlung 2003/361/EG. § 8c Absatz 3 gilt nicht für 
Anbieter, 

1. die ihren Hauptsitz in einem anderen Mitgliedstaat der Europäischen 
Union haben oder 

2. die, soweit sie nicht in einem Mitgliedstaat der Europäischen Union nie- 
dergelassen sind, einen Vertreter in einem anderen Mitgliedstaat der Euro- 
päischen Union benannt haben, in dem die digitalen Dienste ebenfalls an- 
geboten werden. 
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Für Anbieter nach Satz 2 gilt § 8c Absatz 4 nur, soweit sie in der Bundes- 
republik Deutschland Netz- und Informationssysteme betreiben, die sie zur 
Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nut- 
zen.“ 


10) Der bisherige § 8d wird § 8e und wird wie folgt geändert: 

a) In Absatz 1 Satz 1 wird wie folgt geändert: 

aa) Nach den Wörtern „§ 8a Absatz 2 und 3“ werden die Wörter „und § 8c 
Absatz 4“ und nach den Wörtern „§ 8b Absatz 4” die Wörter „und § 8c Ab- 
satz 4“ eingefügt. 

bb) Nach den Wörtern „Kritischer Infrastrukturen“ werden die Wörter „oder 
des Anbieters digitaler Dienste“ eingefügt. 

cc) Das Wort „wesentlicher“ wird durch das Wort „von“ ersetzt und die Wör- 
ter „zu erwarten ist“ durch die Wörter „eintreten kann“ ersetzt. 

b) Absatz 2 wird wie folgt neugefasst: 

„Zugang zu den Akten des Bundesamtes in Angelegenheiten nach den §§ 
8a bis 8c wird bei Vorliegen der Voraussetzungen des § 29 des Verwal- 
tungsverfahrensgesetzes nur gewährt, wenn schutzwürdige Interessen des 
betroffenen Betreibers Kritischer Infrastrukturen oder des Anbieters digita- 
ler Dienste dem nicht entgegenstehen und durch den Zugang zu den Akten 
keine Beeinträchtigung von Sicherheitsinteressen eintreten kann.“ 

c) Folgender Absatz 3 wird angefügt: 

„(3) Für Betreiber nach § 8d Absatz 2 und 3 gelten die Absätze 1 und 2 
entsprechend.“ 

1 1 ) Dem § 10 wird folgender Absatz 4 angefügt: 

„(4) Soweit die Durchführungsrechtsakte der Kommission nach Artikel 16 Ab- 
satz 8 und 9 der Richtlinie (EU) 2016/1148 keine abschließenden Bestimmun- 
gen über die von Anbietern digitaler Dienste nach § 8c Absatz 2 zu treffenden 
Maßnahmen oder über die Parameter zur Beurteilung der Erheblichkeit der 
Auswirkungen von Sicherheitsvorfällen nach § 8c Absatz 3 Satz 2 oder über 
Form und Verfahren der Meldungen nach § 8c Absatz 3 Satz 4 enthalten, 
werden diese Bestimmungen vom Bundesministerium des Innern im Einver- 
nehmen mit den jeweils betroffenen Ressorts durch Rechtsverordnung, die 
nicht der Zustimmung des Bundesrates bedarf, getroffen.“ 
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12) In § 11 wird die Angabe „§ 5“ durch die Wörter „die §§ 5 und 5a“ ersetzt. 


13) Dem § 13 werden die folgenden Absätze 3 bis 5 angefügt: 

„(3) Das Bundesamt übermittelt bis zum 9. November 2018 und danach alle 
zwei Jahre die folgenden Informationen an die Kommission: 

1. die nationalen Maßnahmen zur Ermittlung der Betreiber Kritischer Infra- 
strukturen; 

2. eine Aufstellung der im in Anhang II der Richtlinie (EU) 2016/1148 genann- 
ten Sektoren, die nach § 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeu- 
tung als kritisch anzusehenden Dienstleistungen und deren als bedeutend an- 
zusehenden Versorgungsgrad; 

3. eine zahlenmäßige Aufstellung der Betreiber der in Nummer 2 genannten 
Sektoren, die in den in Anhang II der Richtlinie (EU) 2016/1148 genannten 
Sektoren ermittelt werden, einschließlich eines Hinweises auf ihre Bedeutung 
für den jeweiligen Sektor. 

Die Übermittlung darf keine Informationen enthalten, die zu einer Identifizie- 
rung einzelner Betreiber führen können. Das Bundesamt übermittelt die nach 
Satz 1 übermittelten Informationen unverzüglich dem Bundesministerium des 
Innern, dem Bundeskanzleramt, dem Bundesministerium für Wirtschaft und 
Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem 
Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und So- 
ziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bun- 
desministerium für Gesundheit, dem Bundesministerium für Verkehr und digi- 
tale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundes- 
ministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit. 

(4) Sobald bekannt wird, dass eine Einrichtung oder Anlage nach § 2 Absatz 
10 oder Teile einer Einrichtung oder Anlage eine wegen ihrer Bedeutung als 
kritisch anzusehenden Dienstleistung in einem der in Anhang II der Richtlinie 
(EU) 2016/1148 genannten Sektoren in einem anderen Mitgliedstaat der Eu- 
ropäischen Union bereitstellt, nimmt das Bundesamt zum Zweck der gemein- 
samen Ermittlung der Betreiber, die kritische Dienstleistungen in den in An- 
hang II der Richtlinie (EU) 2016/1148 genannten Teilsektoren erbringen, mit 
der zuständigen Behörde dieses Mitgliedstaats Konsultationen auf. 

(5) Das Bundesamt übermittelt bis zum 9. August 2018 und danach jährlich an 
die Kooperationsgruppe nach Artikel 11 der Richtlinie (EU) 2016/1148 einen 
zusammenfassenden Bericht zu den Meldungen, die in Anhang II der Richtli- 
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nie (EU) 2016/1148 genannten Sektoren oder digitale Dienste betreffen. Der 
Bericht enthält auch die Zahl der Meldungen und die Art der gemeldeten Si- 
cherheitsvorfälle sowie die ergriffenen Maßnahmen. Der Bericht darf keine In- 
formationen enthalten, die zu einer Identifizierung einzelner Meldungen oder 
einzelner Betreiber oder Anbieter führen können.“ 


14) § 14 wird wie folgt geändert: 

a) Absatz 1 wird wie folgt geändert: 

aa) In Nummer 2 werden die Wörter „Satz 4 a) Nummer 1 oder b) Nummer 
2“ durch die Angabe „Satz 5“ ersetzt. 

bb) In Nummer 3 wird das Wort „oder“ am Ende durch ein Komma ersetzt. 

cc) In Nummer 4 wird der Punkt am Ende durch ein Komma ersetzt. 

dd) Die folgenden Nummern 5 bis 7 werden angefügt: 

„5. entgegen § 8c Absatz 1 Satz 1 eine dort genannte Maßnahme nicht 
trifft, 

6. entgegen § 8c Absatz 3 Satz 1 eine Meldung nicht, nicht richtig, nicht 
vollständig oder nicht rechtzeitig vornimmt oder 

7. einer vollziehbaren Anordnung nach § 8c Absatz 4 

a) Nummer 1 oder 

b) Nummer 2 
zuwiderhandelt.“ 

b) Dem Absatz 2 wird folgender Satz angefügt: 

„In den Fällen des Absatzes 1 Nummer 5 bis 7 wird die Ordnungswidrigkeit 
nur geahndet, wenn der Anbieter digitaler Dienste seine Hauptniederlas- 
sung nicht in einem anderen Mitgliedstaat der Europäischen Union hat o- 
der, soweit er nicht in einem anderen Mitgliedstaat der Europäischen Union 
niedergelassen ist, dort einen Vertreter benannt hat und in diesem Mit- 
gliedstaat dieselben digitalen Dienste anbietet.“ 

15) Folgender § 15 wird angefügt: 

„§15 

Anwendbarkeit der Vorschriften für Anbieter digitaler Dienste 
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Die Vorschriften, die Anbieter digitaler Dienste betreffen, sind ab dem 10. Mai 
2018 anwendbar.“ 
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Artikel 2 

Änderung des Atomgesetzes 

§ 44b des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 
(BGBl. I S. 1565), das zuletzt durch Artikel 1 des Gesetzes vom 26. Juli 2016 (BGBl. 

I S. 1843) geändert worden ist, wird wie folgt geändert: 

1 ) In Satz 2 werden die Wörter „§ 8b Absatz 1 , 2 und Absatz 7“ durch die Wörter 
„§ 8b Absatz 1 , 2 Nummer 1 bis 3, Nummer 4 Buchstabe a) bis c) und Absatz 
7“ ersetzt. 

2) In Satz 4 werden nach den Wörtern „des Bundes und des Landes“ die Wörter 
„und an die von diesen bestimmten Sachverständigen nach § 20“ eingefügt. 

Artikel 3 

Änderung des Energiewirtschaftsgesetzes 

Das Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt 
durch Artikel 6 des Gesetzes vom 13. Oktober 2016 (BGBl. I S. 2258) geändert wor- 
den ist, wird wie folgt geändert: 

1 ) § 1 1 Absatz 1c) wird wie folgt neu gefasst: 

„(1c) Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, 

die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI- 

Gesetzes als Kritische Infrastruktur bestimmt wurden, haben 

1. Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer 
informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem 
Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit des 
Energieversorgungsnetzes oder der betreffenden Energieanlage geführt ha- 
ben, 

2. erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertrau- 
lichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, 
die zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfä- 
higkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage 
führen können. 
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über die Kontaktstelle unverzüglich an das Bundesamt für Sicherheit in der Infor- 
mationstechnik zu melden. 

Die Meldung muss Angaben zu der Störung, zu möglichen grenzü bergreifenden 
Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der 
vermuteten oder tatsächlichen Ursache und der betroffenen Informationstechnik, 
enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Stö- 
rung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähig- 
keit der Kritischen Infrastruktur geführt hat. Das Bundesamt für Sicherheit in der 
Informationstechnik hat die Meldungen unverzüglich an die Bundesnetzagentur 
weiterzuleiten. Das Bundesamt für Sicherheit in der Informationstechnik und die 
Bundesnetzagentur haben sicherzustellen, dass die unbefugte Offenbarung der 
ihnen nach Satz 1 zur Kenntnis gelangten Angaben ausgeschlossen wird. Zugang 
zu den Akten des Bundesamtes für Sicherheit in der Informationstechnik sowie zu 
den Akten der Bundesnetzagentur in Angelegenheiten nach den §§11 Absatz 1a 
bis Absatz 1c wird nicht gewährt. § 29 des Verwaltungsverfahrensgesetzes bleibt 
unberührt. § 8e Absatz 1 des BSI-Gesetzes ist entsprechend anzuwenden.“ 

2) § 95 wird wie folgt geändert: 

a) In Absatz 1 werden nach Nummer 2 folgende Nummern 2a und 2b einge- 
fügt: 

„2a. entgegen § 11 Absatz 1a oder 1b den Katalog von Sicherheitsanforde- 
rungen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig einhält, 

2b. entgegen § 11 Absatz 1c eine Meldung nicht, nicht richtig, nicht vollständig 
oder nicht rechtzeitig vornimmt,“. 

b) Absatz 5 wird wie folgt gefasst: 

„(5) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes 
über Ordnungswidrigkeiten ist in den Fällen des Absatzes 1 Nummer 2b das 
Bundesamt für Sicherheit in der Informationstechnik, im Übrigen die nach § 54 
zuständige Behörde.“ 


Artikel 4 

Änderung des Fünften Buches Sozialgesetzbuch 

Das Fünfte Buch Sozialgesetzbuch - Gesetzliche Krankenversicherung - (Artikel 1 
des Gesetzes vom 20. Dezember 1988, BGBl. I S. 2477, 2482), das zuletzt durch 
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Artikel 2 des Gesetzes vom 11. Oktober 2016 (BGBl. I S. 2233) geändert worden ist, 
wird wie folgt geändert: 

1 ) Dem § 291 b wird folgender Absatz 8 angefügt: 

„(8) Die Gesellschaft für Telematik legt dem Bundesamt für Sicherheit in der 
Informationstechnik auf Verlangen die folgenden Unterlagen und Informatio- 
nen vor: 

1. die Zulassungen und Bestätigungen nach den Absätzen 1a bis 1c und 1e 
einschließlich der zugrunde gelegten Dokumentation, 

2. eine Aufstellung der nach den Absätzen 6 und 7 getroffenen Maßnahmen 
einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maß- 
nahmen und 

3. sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie 
der zugelassenen Dienste und bestätigten Anwendungen erforderlichen In- 
formationen. 

Ergibt die Bewertung der in Satz 1 genannten Informationen Sicherheitsmän- 
gel, so kann das Bundesamt für Sicherheit in der Informationstechnik der Ge- 
sellschaft für Telematik verbindliche Anweisungen zur Beseitigung der festge- 
stellten Sicherheitsmängel erteilen. Die Gesellschaft für Telematik ist befugt, 
Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach 
den Absätzen 1a bis 1c und 1e, verbindliche Anweisungen zur Beseitigung 
festgestellter Sicherheitsmängel zu erteilen. Die Kosten der Überprüfung tra- 
gen 

1. die Gesellschaft für Telematik, sofern das Bundesamt für Sicherheit in der 
Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die be- 
rechtigte Zweifel an der Sicherheit der Telematikinfrastruktur begründeten, 

2. der Betreiber von zugelassenen Diensten und bestätigten Anwendungen 
nach den Absätzen 1a bis 1c und 1e, sofern das Bundesamt für Sicherheit in 
der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die 
berechtigte Zweifel an der Sicherheit der zugelassenen Dienste und bestätig- 
ten Anwendungen begründeten.“ 

2) § 307 wird wie folgt geändert 

a) Nach Absatz 1 werden folgende Absätze 1a bis 1c eingefügt: 
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„(1a) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen § 
291b Absatz 6 Satz 2 und 4 eine Meldung nicht, nicht richtig, nicht voll- 
ständig oder nicht rechtzeitig vornimmt. 

(lb) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen § 
291b Absatz 8 Satz 2 einer verbindlichen Anweisung nicht, nicht vollstän- 
dig oder nicht rechtzeitig Folge leistet. 

(lc) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen § 
291b Absatz 8 Satz 3 einer verbindlichen Anweisung nicht, nicht vollstän- 
dig oder nicht rechtzeitig Folge leistet.“ 

b) Folgender Absatz 4 wird angefügt: 

„(4) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Ge- 
setzes über Ordnungswidrigkeiten ist in den Fällen der Absätze 1a bis 1c 
das Bundesamt für Sicherheit in der Informationstechnik.“ 


Artikel 5 

Änderung des Telekommunikationsgesetzes 

Das Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. I S. 1190), das zuletzt 
durch Artikel 1 und 12 des Gesetzes vom 4. November 2016 (BGBl. I S. 2473) geän- 
dert worden ist, wird wie folgt geändert: 


§109 Absatz 5 wird wie folgt geändert: 

In Satz 8 wird die Angabe „ § 8d“ durch die Angabe „§ 8e“ ersetzt. 

Artikel 6 
Inkrafttreten 


Dieses Gesetz tritt am Tag nach der Verkündung in Kraft. 


Begründung 


A. Allgemeiner Teil 

I. Zweck und Inhalt des Gesetzes 

Am 8. August 2016 trat die Richtlinie (EU) 2016/1148 des Europäischen Parlaments 
und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen 
gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union 
(ABI. L 194 vom 19. Juli 2016, S. 1; sog. NIS-Richtlinie) in Kraft. Mit der Richtlinie 
wurden ein einheitlicher europäischer Rechtsrahmen für den EU-weiten Aufbau nati- 
onaler Kapazitäten für die Cyber-Sicherheit, eine stärkere Zusammenarbeit der Mit- 
gliedstaaten sowie Mindestsicherheitsanforderungen an und Meldepflichten für be- 
stimmte Dienste geschaffen. Ziel ist es, einheitliche Maßnahmen festzulegen, mit 
denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen in der Eu- 
ropäischen Union erreicht werden soll (Artikel 1 Absatz 1 der NIS-Richtlinie). Die 
Richtlinie ist gemäß Artikel 25 Absatz 1 bis zum 9. Mai 2018 in nationales Recht um- 
setzen. Gemäß Artikel 5 Absatz 1 der Richtlinie ermitteln die Mitgliedstaaten bis zum 
9. November 2018 für jeden in Anhang II der Richtlinie genannten Sektor und Teil- 
sektor die Betreiber wesentlicher Dienste mit einer Niederlassung in ihrem Hoheits- 
gebiet. 

Die europarechtlichen Vorgaben werden im Rahmen einer Anpassung des Gesetzes 
über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) sowie einzelner 
für bestimmte Branchen der Kritischen Infrastrukturen vorrangiger Spezialgesetze 
(des Atomgesetzes (AtG), des Energiewirtschaftsgesetzes (EnWG) und des Fünften 
Buches Sozialgesetzbuch - Gesetzliche Krankenversicherung (SGB V)) umgesetzt. 

Zur Umsetzung der Vorgaben der NIS-Richtlinie werden die Befugnisse des Bundes- 
amtes für Sicherheit in der Informationstechnik (BSI) zur Überprüfung der Einhaltung 
der technischen und organisatorischen Sicherheitsanforderungen, die Nachweis- 
pflicht der Betreiber Kritischer Infrastrukturen nach § 8a BSIG und die Regelungen in 
§ 8b BSIG um Vorgaben für das Verfahren bei grenzüberschreitenden Vorfällen er- 
weitert. Zudem wird das BSIG um eine Definition der digitalen Dienste sowie um 
spezielle Regelungen zu Sicherheitsanforderungen, zu Meldepflichten und zur Auf- 
sicht im Hinblick auf die Anbieter digitaler Dienste ergänzt; die Bußgeldvorschriften in 
§15 werden entsprechend angepasst. 

Die in Artikel 5 der NIS-Richtlinie vorgesehene Ermittlung der Betreiber wesentlicher 
Dienste wird über die im geltenden Recht bereits vorgesehene Rechtsverordnung 
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nach § 10 Absatz 1 BSIG zur Bestimmung der Kritischen Infrastrukturen vorgenom- 
men. Ergänzt wird eine Ermächtigung zum Erlass von Rechtsverordnungen zur Um- 
setzung der in Artikel 16 der NIS-Richtlinie vorgesehenen Durchführungsrechtsakte. 

Die nach § 8c BSIG vorrangigen Spezialgesetze werden entsprechend den im BSIG 
enthaltenen Regelungen mit Bezug auf den Betrieb Kritischer Infrastrukturen ange- 
passt, soweit sie die Anforderungen der NIS-Richtlinie bezüglich der Betreiber we- 
sentlicher Dienste bisher unterschreiten. 

Zusätzlich werden mit dem Gesetzentwurf erforderliche Klarstellungen, Bereinigun- 
gen und Anpassungen bei den Unterstützungsaufgaben des BSI vorgenommen. 

II. Gesetzgebungskompetenz des Bundes 

Für die Änderungen des BSI-Gesetzes (Artikel 1), die den Schutz der Informations- 
technik Kritischer Infrastrukturen betreffen, folgt die Gesetzgebungskompetenz des 
Bundes teilweise aus speziellen Kompetenztiteln: 

- Luftverkehr; Artikel 73 Absatz 1 Nummer 6 des Grundgesetzes (GG), 

- Eisenbahnen: Artikel 73 Absatz 1 Nummer 6a, Artikel 74 Absatz 1 Nummer 23 GG, 

- Schifffahrt: Artikel 74 Absatz 1 Nummer 21 GG, 

- Gesundheit: Artikel 74 Absatz 1 Nummer 19 GG, 

- Telekommunikation; Artikel 73 Absatz 1 Nummer 7 GG und 

- im Übrigen aus der Gesetzgebungskompetenz für das Recht der Wirtschaft (Artikel 
74 Absatz 1 Nummer 11 GG). 

Für die Änderung des Atomgesetzes (Artikel 2) ergibt sich die Gesetzgebungskom- 
petenz des Bundes aus Artikel 73 Absatz 1 Nummer 14 GG. 

Die Gesetzgebungskompetenz für die Änderung des Energiewirtschaftsgesetzes (Ar- 
tikel 3) ergibt sich aus der Gesetzgebungskompetenz für das Recht der Wirtschaft 
(Artikel 74 Absatz 1 Nummer 11 GG). 

Die Gesetzgebungskompetenz des Bundes für die Regelungen der Bußgeldvorschrif- 
ten und Ordnungswidrigkeiten folgt aus Artikel 74 Absatz 1 Nummer 1 GG (Straf- 
recht). Die Änderungen im Telekommunikationsgesetz (Artikel 5) stützen sich auf die 
ausschließliche Gesetzgebungskompetenz des Bundes nach Artikel 73 Absatz 1 
Nummer 7 GG. 
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Die Berechtigung des Bundes zur Inanspruchnahme der Gesetzgebungskompetenz 
aus Artikel 74 Absatz 1 Nummer 11 GG folgt aus Artikel 72 Absatz 2 GG. Eine bun- 
desgesetzliche Regelung dieser Materie ist zur Wahrung der Wirtschaftseinheit im 
Bundesgebiet im gesamtstaatlichen Interesse erforderlich. Eine Regelung durch den 
Landesgesetzgeber würde zu erheblichen Nachteilen für die Gesamtwirtschaft füh- 
ren, die sowohl im Interesse des Bundes als auch im Interesse der Länder nicht hin- 
genommen werden können. Insbesondere wäre zu befürchten, dass unterschiedliche 
landesrechtliche Behandlungen gleicher Lebenssachverhalte (zum Beispiel unter- 
schiedliche Anforderungen an die von den Betreibern Kritischer Infrastrukturen zu 
treffenden Sicherheitsvorkehrungen) erhebliche Wettbewerbsverzerrungen und stö- 
rende Schranken für die länderübergreifende Wirtschaftstätigkeit zur Folge hätten. 


III. Erfüllungsaufwand 

1. Erfüllungsaufwand für Bürgerinnen und Bürger 

Für die Bürgerinnen und Bürger entsteht kein zusätzlicher Erfüllungsaufwand. 

2. Erfüllungsaufwand für die Wirtschaft 

Flinsichtlich des Erfüllungsaufwands für die Wirtschaft ist zu unterscheiden zwischen 
Betreibern von Energieversorgungsnetzen und Energieanlagen, bestimmten Tele- 
kommunikationsdiensteanbietern und Betreibern von Telekommunikationsnetzen, der 
Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik), sons- 
tigen Betreibern Kritischer Infrastrukturen sowie Anbietern digitaler Dienste. 

Die gematik ist eine GmbH, deren Gesellschafter die Spitzenverbände der Leis- 
tungserbringer und Kostenträger im deutschen Gesundheitswesen sind. Dies sind 
der GKV-Spitzenverband, die Bundesärztekammer, die Bundeszahnärztekammer, 
der Deutsche Apothekenverband, die Deutsche Krankenhausgesellschaft, die Kas- 
senärztliche Bundesvereinigung sowie die Kassenärztliche Bundesvereinigung. 

Der gematik entsteht Erfüllungsaufwand für 

• das Betreiben einer Kontaktstelle und 

• die Unterstützung des BSI bei der Prüfung der Erfüllung von Sicherheitsanforde- 
rungen, soweit dies vom BSI ergänzend verlangt wird. 

Betreibern von Energieversorgungsnetzen und Energieanlagen, die als Kritische Inf- 
rastruktur im Sinne des BSI-Gesetzes eingestuft wurden (einschließlich der Geneh- 
migungsinhaber nach § 7 Absatz 1 des Atomgesetzes), entsteht Erfüllungsaufwand 
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für das Betreiben einer Kontaktstelle. Ca. 1550 Betreibern von Energieversorgungs- 
netzen entsteht durch die Klarstellung von Meldepflichten an das BSI Aufwand, der 
bisher nicht berücksichtigt wurde. Bei einem Aufwand von 660 EUR pro Fall und 
höchstens 7 Fällen pro Anbieter und Jahr ergibt sich ein Aufwand von bis zu 7,16 
Mio. EUR pro Jahr. 

Bestimmten (öffentlichen) Telekommunikationsanbietern entsteht Erfüllungsaufwand 
für: 

• das Betreiben einer Kontaktstelle. 

Sonstigen Betreibern Kritischer Infrastrukturen entsteht Erfüllungsaufwand für 

• die Unterstützung des BSI bei der Prüfung der Erfüllung von Sicherheitsanforde- 
rungen, soweit dies vom BSI ergänzend verlangt wird, und 

die Angabe zusätzlicher Informationen im Falle eines grenzüberschreitenden Bezugs 
von Sicherheitsvorfällen mit erheblicher Auswirkung. Die Angabe zusätzlicher Infor- 
mationen im Falle eines grenzüberschreitenden Bezugs von Sicherheitsvorfällen 
führt zu keinen relevanten Mehraufwänden, da das Bundesamt für Sicherheit in der 
Informationstechnik diese Informationen im Flinblick auf die Bewertung der potentiel- 
len Auswirkungen auf Kritische Infrastrukturen in seinem Meldeformular bereits ab- 
fragt. 

Ergänzende Prüfungen des Bundesamtes für Sicherheit in der Informationstechnik 
(BSI), die zu zusätzlichem Erfüllungsaufwand für die gematik und die sonstigen Be- 
treiber Kritischer Infrastrukturen führen, sind nicht als Regelfall, sondern lediglich im 
Einzelfall auf Stichprobenbasis bzw. bei begründetem Anlass durchzuführen. Unter 
der Annahme, dass das zuständige BSI aus der Gesamtheit von prognostizierten 
max. 2.000 KRITIS-Anlagen nicht mehr als 100 Anlagen pro Jahr vor Ort überprüft 
und dass eine Vor-Ort-Begleitung durch den KRITIS-Betreiber nicht mehr als bis zu 
15.000 EUR kostet (der Schätzung zugrunde liegen bis zu 15 Personentage der Be- 
treiber bei hohem Umfang sicherheitsrelevanter IT), wird der Gesamtaufwand auf 
maximal 1,5 Millionen EUR abgeschätzt. 

Anbietern digitaler Dienste entsteht Erfüllungsaufwand 

• für die Sicherung ihrer technischen Einrichtungen durch Maßnahmen unter Be- 
rücksichtigung des Stands der Technik, 

• für die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung von IT- 
Sicherheitsvorfällen mit erheblichen Auswirkungen an das BSI und 
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• durch die Benennung eines Vertreters in einem Mitgliedstaat in der Europäischen 
Union im Falle, dass sie nicht in einem Mitgliedstaat der Europäischen Union nie- 
dergelassen sind. 

Für Anbieter digitaler Dienste wird die Verpflichtung zur Einhaltung eines Mindestni- 
veaus an IT-Sicherheit dort zu Mehrkosten führen, wo kein hinreichendes IT- 
Sicherheitsniveau vorhanden ist. Der hierfür anfallende Aufwand hängt einerseits 
vom erforderlichen Sicherheitsniveau und andererseits vom jeweiligen Status quo 
des Normadressaten ab. Verlässliche Angaben zur Zahl der betroffenen Dienstean- 
bieter, die nicht zwingend einen Sitz in einem Mitgliedstaat der EU haben müssen, 
liegen nicht vor. In einer ersten Annäherung auf der Grundlage der Ergebnisse der 
Verbändeanhörung am 19. Dezember 2016 wird von 500 bis 1.500 Anbietern mit 
mehr als 50 Mitarbeitern beziehungsweise einer Bilanzsumme, die 10 Millionen Euro 
überschreitet, ausgegangen, die ihren Sitz in Deutschland haben. Eine genauere 
Einschätzung der zahlenmäßig tatsächlich betroffenen Diensteanbieter ist bis zur 
Festlegung der Durchführungsakte der Kommission, mit denen der Umfang der Si- 
cherheitsanforderungen für die jeweiligen Dienste weiter konkretisiert wird, nicht 
möglich. Zu den Anbietern digitaler Dienste können auch Bundesunternehmen zäh- 
len, soweit sie wirtschaftlich tätig sind und nicht zum Schutz grundlegender staatli- 
cher Funktionen eingerichtet worden sind oder für diese genutzt werden. Unter den 
Anwendungsbereich fallen zudem Anbieter ohne Sitz in einem Mitgliedstaat der Eu- 
ropäischen Union, soweit sie einen Vertreter in Deutschland benennen. Es wird an- 
genommen, dass diese Zahl relativ gering sein wird. Ferner können ausländische 
Anbieter zur Sicherung technischer Einrichtungen verpflichtet sein, soweit sie diese 
in Deutschland betreiben und die Einrichtung für das Angebot eines digitalen Diens- 
tes sicherheitsrelevant ist. Grundsätzlich werden zudem auch alle anderen Dienste- 
anbieter erfasst, die weder einen Sitz in einem Mitgliedstaat der Europäischen Union 
haben noch dort einen Vertreter benannt haben, aber im Inland entsprechende 
Dienste anbieten. 

Der Aufwand für die Umsetzung von Maßnahmen zur Sicherung technischer Einrich- 
tungen kann zudem auch bezogen auf einzelne Anbieter im Voraus nicht quantifiziert 
werden, da das erforderliche Sicherheitsniveau erst durch Durchführungsrechtsakte 
der Kommission festgelegt werden wird. Da Informationstechnik für Betreiber von 
digitalen Diensten das Kerngeschäft darstellt, und diese zudem durch datenschutz- 
rechtliche Vorgaben bereits zur Gewährleistung eines hinreichenden Niveaus an Da- 
tensicherheit verpflichtet sind, ist allerdings davon auszugehen, dass an das IT- 
Sicherheitsniveau bei digitalen Diensten bereits hohe Anforderungen gestellt und 
diese bereits umgesetzt werden. Die Umsetzung der Vorgaben der Richtlinie (EU) 
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2016/1148 sollte danach keine zusätzlichen nennenswerten Kosten nach sich zie- 
hen. 

Für das Meldeverfahren ergibt sich der jährliche Erfüllungsaufwand aus 

• der Anzahl der meldepflichtigen Unternehmen, 

• der Anzahl der meldepflichtigen Vorfälle pro Jahr und pro Unternehmen sowie 

• dem Aufwand pro Meldung. 

Der Adressaten kreis der entsprechenden Verpflichtungen kann derzeit nicht konkret 
eingegrenzt und eine entsprechende Zahl meldepflichtiger Anbieter digitaler Dienste 
nicht benannt werden, da hierzu keine Erhebungen vorliegen. Auf der Grundlage der 
Ergebnisse der Verbändebeteiligung am 19. Dezember 2016 wird geschätzt, dass 
von den Regelungen für digitale Dienste in Deutschland zwischen 500 und 1.500 Un- 
ternehmen betroffen sein werden. Dies hängt jedoch auch von der späteren Schwel- 
lenwertfestsetzung der Durchführungsakte der Kommission ab. Unter der Annahme, 
dass pro Betreiber und Jahr sieben Meldungen eines schweren Sicherheitsvorfalls 
erfolgen und unter Ansatz einer Kostenschätzung von 660 Euro pro Meldung (vgl. 
Begründung zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Sys- 
teme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl 2015, Teil I Nr. 31, S. 1324)) 
ergeben sich so Gesamtkosten für die Meldepflicht digitaler Dienste in Höhe von rund 
4,6 Mio. EUR Euro. Kostenmindernd könnte sich auswirken, dass aufgrund daten- 
schutzrechtlicher Vorgaben Meldestrukturen bereits vorhanden sein müssen. 

Die Verpflichtung zum Betreiben einer Kontaktstelle wird bei ca. 300 Betreibern von 
öffentlichen Telekommunikationsnetzen, Energieversorgungsnetzen und Energiean- 
lagen (einschließlich der Genehmigungsinhaber nach § 7 Absatz 1 des Atomgeset- 
zes), die als Kritische Infrastruktur im Sinne des BSI-Gesetzes eingestuft wurden, 
sowie bei den Energieversorgungsnetzen und bei der gematik zu einem gewissen 
Mehraufwand führen, soweit dort noch keine entsprechende Kontaktstelle vorhanden 
ist. Die Kosten hierfür hängen von der konkreten Ausgestaltung der Erreichbarkeit 
durch den Betreiber ab. Faktisch sind diese Betreiber aber auch heute schon ver- 
pflichtet, Informationen zur IT-Sicherheit auszuwerten und in ihren Prozessen zu be- 
rücksichtigen, sodass der Mehraufwand im Wesentlichen in der formalen Benennung 
einer Kontaktstelle gegenüber dem BSI besteht. 

3. Erfüllungsaufwand der Verwaltung 

Der Verwaltung entsteht für die Erfüllung der im Gesetz vorgesehenen zusätzlichen 
Aufgaben ein Aufwand von insgesamt 185,5 Planstellen/Stellen mit Personalkosten 
in Höhe von jährlich rund 14,216 Millionen Euro. 
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Davon ist beim BSI ein Erfüllungsaufwand in Höhe 181,5 Planstellen/Stellen mit Per- 
sonalkosten in Höhe von jährlich rund 13,909 Millionen Euro und beim Bundesminis- 
terium des Innern (BMI) ein Erfüllungsaufwand in Höhe von 4 Planstellen/Stellen mit 
Personalkosten in Höhe von jährlich rund 420.000 Euro zu berücksichtigen. Beim BSI 
werden in geringem Umfang zusätzliche Sachkosten entstehen, die aus dem Haus- 
halt des BSI getragen werden können. 

Infolge des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme 
(IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl 2015, Teil I Nr. 31, S. 1324) erhielt 
das BSI Ressourcen als zentrale Anlaufstelle für Betreiber Kritischer Infrastrukturen. 
Der im Weiteren aufgeführte Erfüllungsaufwand entsteht darüber hinaus und auf- 
grund der Umsetzung der NIS-Richtlinie. 

Als neue Aufgaben für das BSI kommen hinzu: 

• Unterstützung der Kritischen Infrastrukturen und Bundesbehörden durch die 
Einrichtung von Mobile Incident Response Teams (MIRTs) (§ 5a BSIG): 

In der heutigen Bedrohungslage sind präventive Schutz- und Abwehrmaßnahmen 
alleine nicht ausreichend, sondern müssen durch reaktive Maßnahmen ergänzt wer- 
den. Dazu zählt eine möglichst schnelle und sachkundige Zurückführung angegriffe- 
ner Systeme und Netze in einen „sauberen“ Zustand, um die weitere Nutzbarkeit und 
Sicherheit der betroffenen Systeme und Netze sicherzustellen. Das BSI richtet hierzu 
Mobile Incident Response Teams (MIRTs) ein. Dadurch wird es möglich betroffenen 
Behörden der Bundesverwaltung, sowie weiterer Bedarfsträger wie andere Verfas- 
sungsorgane oder die Betreiber Kritischer Infrastrukturen, bei der Bewältigung von 
Sicherheitsvorfällen zu unterstützen. Zur Wahrnehmung dieser Aufgabe sind nach 
derzeitigem Stand ein Aufwuchs auf 63 Planstellen/Stellen zu realisieren. 

• Neue Aufgaben und Befugnisse in Bezug auf Anbieter von Digitalen Diensten: 

Durch die NIS-Richtlinie werden erstmalig die Anbieter von digitalen Diensten (Onli- 
ne-Marktplätze, Online-Suchmaschinen und Cloud Computing-Dienste, ca. 1000 An- 
bieter) innerhalb der EU verpflichtet, geeignete technische und organisatorische 
Maßnahmen zu treffen, um die Risiken der Netz- und Informationssysteme zu bewäl- 
tigen. Dem BSI ist jeder erhebliche Sicherheitsvorfall zu melden und es erhält die 
Befugnis, Sicherheitskonzepte anzufordern, zu prüfen und die Beseitigung festge- 
stellter Mängel zu verlangen. 

Den Verpflichtungen unterliegen nicht nur Anbieter digitaler Dienste mit Hauptsitz 
oder Vertretung in Deutschland, sondern zusätzlich auch Anbieter weltweit, soweit 
sie Dienste in einem Mitgliedstaat innerhalb der Europäischen Union anbieten. Die 
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Aufgaben des BSI bezogen auf diese Anbieter aus Drittstaaten ergeben sich hier 
soweit diese Netz- und Informationssysteme in Deutschland nutzen, sowie grund- 
sätzlich im Rahmen der internationalen Zusammenarbeit und Koordinierung. 

Das Meldewesen des BSI wird auf die Anbieter Digitaler Dienste ausgeweitet. Einge- 
hende Meldungen nach § 8c Absatz 3 BSIG sind zu bewerten und ggf. entsprechen- 
de Produkte (z. B. Warnmeldungen, Lagebilder) zu erstellen und anzupassen. 

Weiterhin müssen anlassbezogen die IT-Sicherheitskonzepte der Anbieter Digitaler 
Dienste angefordert und bewertet werden. Gleiches gilt für bekannt gewordene An- 
haltspunkte sowie Feststellungen der zuständigen Behörden anderer Mitgliedstaaten 
nach § 8c Absatz 4 und 5 BSIG. 

Zur Ausführung der neuen Aufgaben ist spezielles Hintergrundwissen in Bezug auf 
die jeweiligen digitalen Dienste, das europäische und internationale Regelungs- und 
Marktumfeld sowie die entsprechende technische Expertise (insbesondere zur Be- 
wertung des Stands der Technik) zwingend erforderlich. Der erforderliche Personal- 
bedarf in Höhe von 51 Planstellen/Stellen ermöglicht den Aufbau, die ständige Aktua- 
lisierung und Pflege der Wissensbasis und der notwendigen Fachexpertise als 
Grundlage für die geforderte Bewertung, Unterstützung und Zusammenarbeit sowie 
die operative Umsetzung der Aufgaben in Bezug auf die Anbieter Digitaler Dienste. 

• Erweiterung der Befugnisse des BSI bezüglich KRITIS: 

Die Erweiterung der Befugnisse zur Kontrolle der Umsetzung angemessener techni- 
scher und organisatorischer Vorkehrungen zur Vermeidung von Störungen der rele- 
vanten IT-Systeme nach § 8a Absätze 3 und 4 BSIG über die Betreiber Kritischer 
Infrastrukturen und der Telematik-Infrastruktur führt zu einem Bedarf von 20 Planstel- 
len/Stellen. 

• Ausdehnung der Meldepflichten auf alle Energienetze: 

Aufgrund des Gesetzes wird der Kreis der meldepflichtigen Betreiber um ca. 1 .600 
Anlagenbetreiber (§11 Absatz 1c EnWG) ausgeweitet. Dies führt zu einem erhebli- 
chen Aufgabenzuwachs des BSI als Kontaktstelle für die Bereiche des TKG, EnWG 
und SGB V. Zur sachgerechten Durchführung der ausgedehnten Registrier- und 
Meldepflichten für Energienetze und -anlagen werden zusätzlich 21,5 Planstel- 
len/Stellen benötigt. 

• Ausbau der internationalen Zusammenarbeit mit den Kritischen Infrastrukturen 
(§ 8b BSIG) und der digitalen Dienste (§ 8c BSIG) sowie Berichtswesen (§13 
BSIG) 
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Für die operative grenzüberschreitende Zusammenarbeit und zum Informationsaus- 
tausch über grenzüberschreitende IT-Störungen, der Erfüllung der Berichtspflichten 
gegenüber der Kommission, die Bestimmung der Kritischen Infrastrukturen mit 
grenzübergreifendem Versorgungsgebiet sowie die fachliche Unterstützung der Ko- 
ordinierung und der Angleichung von Vorgaben auf europäischer Ebene benötigt das 
BSI insgesamt 9,5 Planstellen/Stellen. 

• Erweiterung der Bußgeldvorschriften nach dem Gesetz über 
Ordnungswidrigkeiten (OWIG) für Anbieter Digitaler Dienste, Betreiber von 
Energienetzen und -anlagen, der Telematikinfrastruktur im Gesundheitswesen 
sowie damit zusammenhängender Dienste 

Ein zusätzlicher Bedarf in Höhe von 10 Planstellen/Stellen entsteht, um die Verfol- 
gung und Bearbeitung von Ordnungswidrigkeiten als zuständige Verwaltungsbehör- 
de im Sinne des § 36 Absatz 1 Nummer 1 OWiG nach § 14 Absatz 1 BSIG, § 95 Ab- 
satz 5 Satz 2 EnWG und § 307 Absatz 4 SGB V auch im Bereich der Anbieter Digita- 
ler Dienste, der Betreiber von Energienetzen und -anlagen und der Telematikinfra- 
struktur im Gesundheitswesen sowie damit zusammenhängender Dienste sicherzu- 
stellen. 

• Unterstützung der Länder (§ 3 Absatz 1 und § 13a BSIG) 

Mit der vorgesehenen Änderung von § 3 Absatz 1 und § 13a BSIG darf das BSI die 
Länder auf deren Ersuchen nunmehr umfassender unterstützen. Es handelt sich in- 
soweit um einen spezialgesetzlich geregelten Fall der Amtshilfe, bei dem das BSI 
den Landesbehörden seine technische Expertise bei der Bewältigung ihrer (landes-) 
gesetzlichen Aufgaben zur Verfügung stellt. Hierfür entsteht ein Gesamtaufwand für 
die Einrichtung einer koordinierenden Geschäftsstelle von 6,5 Planstellen/Stellen. 

Beim BMI entsteht ein Erfüllungsaufwand von insgesamt 4 Planstellen/Stellen mit 
Personalkosten in Höhe von jährlich rund 420.000 Euro. Die zusätzlichen Aufgaben 
des BSI erfordern den Aufbau einer entsprechend qualifizierten und quantitativ aus- 
reichenden Fachaufsicht. Des Weiteren werden durch die Umsetzung der Richtlinie 
vier neue Gremien auf EU-Ebene geschaffen, von denen drei (NIS-Expertengruppe, 
NIS-Committe, NIS-Kooperationsgruppe) durch BMI besetzt werden müssen. 

Der Bedarf an Sach- und Personalmitteln sowie Planstellen und Stellen soll finanziell 
und stellenmäßig im jeweiligen Einzelplan ausgeglichen werden. 

Den Länder und Kommunen entsteht Erfüllungsaufwand insbesondere durch die An- 
passung der Aufsichtsbefugnisse des BSI und die Ausweitung von Registrierung und 
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Meldepflichten. Der den Länder und Kommunen entstehende Erfüllungsaufwand ist 
derzeit nicht bezifferbar. 

IV. Weitere Kosten 

Betreibern Kritischer Infrastrukturen können im Sonderfall nach § 8a Absatz 3 Satz 3 
BSIG Kosten entstehen, soweit berechtigte Zweifel an der ordnungsgemäßen Einhal- 
tung der ihnen obliegenden Sicherheitsanforderungen bestehen, die eine zusätzlich 
Überprüfung vor Ort erforderlich machen. 


V. Gleichstellungspolitische Relevanz 

Die Regelungen sind inhaltlich geschlechtsneutral und damit ohne gleichstellungspo- 
litische Relevanz. § 1 Absatz 2 des Bundesgleichstellungsgesetzes, der verlangt, 
dass Rechts- und Verwaltungsvorschriften des Bundes die Gleichstellung von Frauen 
und Männern auch sprachlich zum Ausdruck bringen sollen, wurde in die Entwicklung 
der Gesetzesformulierung miteinbezogen. Gleichzeitig wurde aber auch die Diktion 
der jeweils zu ändernden Stammgesetze mitberücksichtigt. 

VI. Nachhaltigkeit 

Der Gesetzentwurf entspricht dem Leitgedanken der Bundesregierung zur nachhalti- 
gen Entwicklung im Sinne der nationalen Nachhaltigkeitsstrategie. 


VII. Demographie-Check 

Von dem Vorhaben sind keine demographischen Auswirkungen - d.h. Auswirkungen 
unter anderem auf die Geburtenentwicklung, Altersstruktur, Zuwanderung, regionale 
Verteilung der Bevölkerung oder das Generationenverhältnis - zu erwarten. 

VIII. Vereinbarkeit mit europäischem Recht und völkerrechtlichen Verträgen 

Der Gesetzentwurf ist mit dem Recht der Europäischen Union und völkerrechtlichen 
Verträgen vereinbar. Er dient der Umsetzung der NIS-Richtlinie. 

IX. Befristung und Evaluierung 

Eine Befristung ist nicht vorgesehen, da der Gesetzentwurf der Umsetzung der NIS- 
Richtlinie dient, die unbefristet gilt. Der Gesetzentwurf soll anhand der Konzeption 
zur Evaluierung neuer Regelungsvorhaben gemäß dem Arbeitsprogramm bessere 
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Rechtsetzung der Bundesregierung vom 28. März 2012, Ziffer II. 3. maximal fünf Jah- 
re nach Inkrafttreten evaluiert werden. 


B. Besonderer Teil 

Zu Artikel 1 (Änderung des BSI-Gesetzes) 

Zu Nummer 1 (Änderung des § 2 BSIG) 

Die ursprünglich in § 2 Absatz 9 BSIG enthaltene Definition des Begriffs „Datenver- 
kehr“ ist entbehrlich, da dieser Begriff im BSIG nicht weiter verwendet wird. Die Ein- 
fügung eines neuen Absatzes 9 dient der Umsetzung der NIS-Richtlinie. Mit den Än- 
derungen wird der Katalog in § 2 um eine neue Definition der digitalen Dienste ge- 
mäß Artikel 4 Nummer 5 und 6 sowie Nummer 17 bis 19 der NIS-Richtlinie ergänzt. 
Gleichzeitig wird der Anwendungsbereich der Vorgaben, die für die genannten 
Dienste gelten gemäß Artikel 18 der NIS-Richtlinie auf Anbieter eingegrenzt, die ei- 
nen dieser Dienste innerhalb der Europäischen Union zur Nutzung bereitstellen. Die 
für digitale Dienste geltenden Vorgaben sind also unabhängig davon anwendbar, ob 
der Anbieter in einem der Mitgliedstaaten der Europäischen Union niedergelassen ist 
oder nicht. Dienste, die von einer natürlichen Person oder von Kleinstunternehmen 
oder kleinen Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission 
angeboten werden, sind von der Anwendung der Vorgaben ausgenommen. Damit 
wird Artikel 16 Absatz 11 der NIS-Richtlinie entsprochen, der den Anwendungsbe- 
reich der für digitale Dienste geltenden Regelungen entsprechend zwingend be- 
grenzt. Die für Anbieter digitaler Dienste in den Artikeln 16 bis 18 der NIS-Richtlinie 
niedergelegten Mindestanforderungen und Meldepflichten gelten nach Artikel 1 Ab- 
satz 3 der NIS-Richtlinie nicht für Unternehmen, die den Anforderungen der Artikel 
13a und 13b der Richtlinie 2002/21/EG unterliegen, Unternehmen, die ein öffentli- 
ches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunika- 
tionsdienste erbringen unterliegen daher nicht der Anwendung der für digitale Diens- 
te anwendbaren Vorgaben. 

Online-Marktplätze im Sinne des Absatz 9 Nr. 1 sind nur solche Online Dienste, die 
es Verbrauchern und Unternehmern im Sinne der Richtlinie Artikels 4 Absatz 1 
Buchstabe a beziehungsweise Buchstabe b der Richtlinie 2013/11/EU über alternati- 
ve Streitbeilegung in Verbraucherangelegenheiten ermöglichen, Online-Kaufverträge 
oder Online-Dienstleistungsverträge mit Unternehmern abzuschließen, und dabei der 
endgültige Bestimmungsort für den Abschluss dieser Verträge sind (s. Erwägungs- 
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grund 15 der NIS-Richtlinie). Ausgenommen sind daher Online-Dienste, die lediglich 
den Zugang zu dritten Diensten vermitteln, bei denen ein Vertrag letztlich geschlos- 
sen werden kann, wie beispielsweise Online-Dienste, die Angebote für bestimmte 
Produkte oder Dienste bei verschiedenen Unternehmern lediglich vergleichen und 
den Nutzer anschließend an den bevorzugten Anbieter weiterleiten. Unternehmer 
des Absatz 9 Nr. 1 ist grundsätzlich jede natürliche oder juristische Person unabhän- 
gig davon, ob sie in privatem oder öffentlichem Eigentum steht, die zu Zwecken han- 
delt, die ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätig- 
keit zugerechnet werden können, (s. Art. 4 der Richtlinie über alternative Streitbeile- 
gung in Verbraucherangelegenheiten). Ausgenommen, sind allerdings nichtwirt- 
schaftliche Dienstleistungen von allgemeinem Interesse, die vom Staat oder im Na- 
men des Staates ohne Entgelt erbracht werden, unabhängig von der Rechtsform, 
durch die diese Dienstleistungen erbracht werden. Nichtwirtschaftliche Dienstleistun- 
gen sind Dienstleistungen, die nicht für eine wirtschaftliche Gegenleistung erbracht 
werden (s. Erwägungsgrund 13 der Richtlinie über alternative Streitbeilegung in Ver- 
braucherangelegenheiten). 

Online-Suchmaschinen im Sinne des Absatzes 9 Nr. 2 ermöglichen es Nutzern, Su- 
chen grundsätzlich auf beliebigen in einer oder verschiedenen Sprachen verfassten 
Websites anhand einer Abfrage zu einem beliebigen Thema vorzunehmen. Ausge- 
nommen sind daher Online-Dienste und Funktionen in IT-Anwendungen, die Suchen 
jeweils nur auf bestimmte Websites oder Domains ermöglichen. Hierzu zählen auch 
Online-IT-Verfahren der Verwaltung wie zum Beispiel IT-Verfahren des Bundes und 
der Länder inklusive der Kommunen, deren Kernaufgabe die Recherche in Datenbe- 
ständen anderer IT-Verfahren der vorgenannten Verwaltungen ist. die Angebote für 
bestimmte Produkte oder Dienste bei verschiedenen Unternehmern lediglich verglei- 
chen und den Nutzer anschließend an den bevorzugten Anbieter weiterleiten (s. Er- 
wägungsgrund 16 der NIS-Richtlinie).. 

Cloud-Computing-Dienste im Sinne des Absatzes 9 Nr. 3 umfassen eine breite Palet- 
te von Tätigkeiten, die den Zugang zu einem skalierbaren und elastischen Pool ge- 
meinsam nutzbarer Rechenressourcen ermöglichen. Zu diesen Rechenressourcen 
zählen Ressourcen wie Netze, Server oder sonstige Infrastruktur, Speicher, Anwen- 
dungen und Dienste. Skalierbar sind Rechenressourcen, die unabhängig von ihrem 
geografischen Standort vom Anbieter des Cloud-Computing-Dienstes flexibel zuge- 
teilt werden können, um Nachfrageschwankungen zu bewältigten. Mit dem Begriff 
„elastischer Pool“ werden Cloud-Computing-Dienste auf solche Dienste beschränkt, 
die Rechenressourcen entsprechend der Nachfrage bereitstellen und freigegeben, so 
dass die für den Nutzer verfügbaren Ressourcen je nach Arbeitsaufkommen rasch 
auf- bzw. abgebaut werden können. Der Begriff „gemeinsam nutzbar“ wird verwen- 


- 13 - 


det, um Rechenressourcen zu beschreiben, die einer Vielzahl von Nutzern bereitge- 
stellt werden, wobei jedoch die Verarbeitung für jeden Nutzer separat erfolgt, obwohl 
der Dienst von derselben elektronischen Einrichtung erbracht wird (s. Erwägungs- 
grund 17 der NIS-RL). 

Mit Halbsatz 2 wird klargestellt, dass Dienste, die zum Schutz grundlegender staatli- 
cher Funktionen eingerichtet worden sind oder für diese genutzt werden, keine digita- 
len Dienste im Sinne des Absatzes 11 Nummer 1 bis 3 sind. Ausgenommen ist daher 
zum Beispiel die Nutzung von Cloud-Diensten durch die Landes- oder Bundesverwal- 
tung(z.B. die sogenannte „Bundescloud“). Diese Ausnahme ist auf Artikel 1 Absatz 6 
der NIS-Richtlinie gestützt, nach dem Maßnahmen zum Schutz grundlegender staat- 
licher Funktionen, insbesondere Maßnahmen zum Schutz der nationalen Sicherheit, 
einschließlich Maßnahmen zum Schutz von Informationen, deren Preisgabe nach 
Erachten der Mitgliedstaaten der Europäischen Union ihren wesentlichen Sicher- 
heitsinteressen widerspricht, und Maßnahmen zur Aufrechterhaltung von Recht und 
Ordnung, insbesondere zur Ermöglichung der Ermittlung, Aufklärung und Verfolgung 
von Straftaten, von der Richtlinie nicht berührt werden. 

Zu Nummer 2 (Änderung des § 3 BSIG) 

Mit der Einfügung einer neuen Nummer 13a in § 3 Absatz 1 Satz 2 BSIG wird der 
Tatsache Rechnung getragen, dass auch in den für die Gefahrenabwehr primär zu- 
ständigen Bundesländern vermehrt nichtpolizeiliche Stellen mit der Abwehr von IT- 
Gefahren befasst sind oder sein können. Generell ist für die Länder in § 3 Absatz 1 
Satz 2 Nummer 14 BSIG lediglich eine Beratung oder Warnung in Fragen der Si- 
cherheit in der Informationstechnik vorgesehen. Eine Unterstützung durch das BSI ist 
nach § 3 Absatz 2 BSIG auf die Sicherung der eigenen Informationstechnik der Län- 
der beschränkt. Allein Polizeien oder Strafverfolgungsbehörden werden gemäß § 3 
Absatz 1 Satz 2 Nummer 13 BSIG insoweit bei ihrer sonstigen Aufgabenwahrneh- 
mung unterstützt. Mit der Änderung darf das Bundesamt die Länder auf deren Ersu- 
chen nunmehr umfassender unterstützen. Es handelt sich insoweit um einen spezial- 
gesetzlich geregelten Fall der Amtshilfe, bei dem das BSI den Landesbehörden seine 
technische Expertise bei der Bewältigung ihrer (landes-) gesetzlichen Aufgaben zur 
Verfügung stellt. 

Mit der Ergänzung der Nummer 13 Buchstabe b) wird klargestellt, dass es auch zu 
den Aufgaben des Bundesamtes gehört, den Militärischen Abschirmdienst zu unter- 
stützen der im Geschäftsbereich des Bundesministeriums der Verteidigung anstelle 
des Bundesamtes für den Verfassungsschutz die Aufgaben des Verfassungsschut- 
zes wahrnimmt und damit Funktionsträger des Verfassungsschutzes ist. Er soll vom 
Bundesamt auf die gleiche Weise wie die übrigen Verfassungsschutzbehörden des 
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Bundes und der Länder unterstützt werden dürfen, wenn Angriffe auf die IT-Systeme 
des Bundesministeriums der Verteidigung bzw. der Bundeswehr in seinen gesetzli- 
chen Aufgabenbereich fallen. 

Die Änderung in Nummer 17 dient der Umsetzung der NIS-Richtlinie. Mit der Ände- 
rung werden die Aufgaben des BSI als zentrale Stelle für die Sicherheit in der Infor- 
mationstechnik auf digitale Dienste nach § 2 BSIG erweitert. 

Mit der Ergänzung der Nummer 18 werden Maßnahmen, die von sogenannten Mobi- 
le Incident Response Teams (MIRTs) durchgeführt werden, in den Aufgabenkatalog 
des BSI-Gesetzes aufgenommen. Mit den MIRTs soll das Bundesamt andere Stellen 
bei der Wiederherstellung ihrer IT-Systeme bei Cyber-Angriffen unterstützen. Die 
Sicherheit informationstechnischer Systeme von Stellen des Bundes und von Betrei- 
bern Kritischer Infrastrukturen gehört bereits heute zum Aufgabenkreis des Bundes- 
amtes (§ 3 Absatz 1 Satz 2 Nummer 2 und § 3 Absatz 3 BSIG). Die Unterstützung 
von Stellen des Bundes und von Betreibern Kritischer Infrastrukturen ist hierin bereits 
enthalten. Da die Befugnisse der MIRTs aber nach dem in diesem Gesetzentwurf 
vorgesehenen § 5a Absatz 1 BSIG erstmals geregelt werden und in Ausnahmefällen 
auch anderen Einrichtungen zu Gute kommen sollen, wird die Aufgabe insgesamt 
noch einmal ausdrücklich festgeschrieben. 

Zu Nummer 3 (Änderung des § 5 Absatz 5 und 6 BSIG) 

Durch das zunehmende Bedrohungspotential im Cyber-Raum müssen auch die ent- 
sprechenden Weitergabebefugnisse von Informationen regelmäßig überprüft werden. 
Die Vorfälle der jüngsten Vergangenheit haben gezeigt, dass die bisherigen Befug- 
nisse des BSI in diesem Zusammenhang den Anforderungen einer zunehmend digi- 
talisierten Gesellschaft nicht mehr gerecht werden. Eine Informationsweitergabe über 
die Vorschriften des BVerfSchG ist nicht mehr zeitgemäß. Die hierdurch entstehende 
verzögerte Informationsweitergabe kann die Auswirkungen eines Cyber-Vorfalles 
erheblich steigern. Daher stellt die Stärkung des Informationsaustausches zwischen 
den relevanten Bundesbehörden auch eine Maßnahme der Cyber-Sicherheits- 
strategie 2016 für Deutschland dar. Bei den Änderungen handelt es sich lediglich um 
die Möglichkeit zur Informationsweitergabe. Es wird keine Regelübermittlung einge- 
führt. 

Durch die Änderung des § 5 Abs. 5 und 6 werden rechtsklare Regelungen für Über- 
mittlungen vom Bundesamt an den Militärischen Abschirmdienst, der gleichermaßen 
Funktionsträger des Verfassungsschutzes ist, und an den Bundesnachrichtendienst 
geschaffen. Die Möglichkeit der Übermittlung des Bundesamts an den Militärischen 
Abschirmdienst schließt dabei insbesondere eine Lücke, die bei elektronischen An- 
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griffen auf den Geschäftsbereich des Bundesministeriums der Verteidigung besteht. 
Eine verzugslose und unmittelbare Überstellung von Daten zu Angriffen auf den Ge- 
schäftsbereich Bundesministeriums der Verteidigung ist hier für die Bearbeitung der 
IT-Abschirmung des Militärischen Abschirmdienstes unerlässlich und muss ohne 
Zeitverluste unmittelbar vom Bundesamt an den MAD erfolgen. 

Dies ist auch für den BND notwendig. Der BND ist für die Erkennung und Begegnung 
von Angriffen aus dem Cyberraum zuständig (§§ 3 Abs. 1 Satz 1 Nr. 8, 5 Abs. 1 Satz 
3 Nr. 8 G10). Sofern das BSI im Rahmen der Gefahrenabwehr entsprechende Infor- 
mationen zu Angriffen i.S.d. § 5 Abs. 1 Satz 3 Nr. 8 G10 oder zu Straftaten nach § 3 
Abs. 1 Satz 1 Nr. 8 G10 erhält, sind diese an den BND weiterzuleiten. Der BND nutzt 
diese Information im Rahmen seiner Zuständigkeit ebenfalls zur Gefahrenabwehr - 
eine Zweckänderung liegt insofern hier nicht vor. 

Zu Nummer 4 (neuer § 5a BSIG - Wiederherstellung der Sicherheit oder Funkti- 
onsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen) 

Die NIS-Richtlinie sieht in Kapitel II in Verbindung mit Anhang 1 zur Richtlinie vor, 
dass die Mitgliedstaaten der Europäischen Union über angemessene technische und 
organisatorische Fähigkeiten zur Prävention, Erkennung, Reaktion und Abschwä- 
chung von Sicherheitsvorfällen und Risiken bei Netz- und Informationssystemen ver- 
fügen und wirksame und kompatible Fähigkeiten zur Bewältigung von Sicherheitsvor- 
fällen und Risiken gewährleisten (s. Erwägungsgrund 34). 

Mit dem neuen § 5a BSIG wird die rechtliche Grundlage näher konkretisiert, auf der 
das BSI die erforderlichen Maßnahmen zur Unterstützung und Wiederherstellung der 
Sicherheit oder Funktionsfähigkeit der von Cyber-Angriffen betroffenen informations- 
technischen Systeme von Stellen des Bundes oder von Betreibern einer Kritischen 
Infrastruktur sowie (in Ausnahmefällen) von anderen Einrichtungen mit MIRTs treffen 
kann. Die notwendige Koordination mit anderen Behörden erfolgt unter Wahrung der 
verfassungsrechtlichen Grenzen im Nationalen Cyber-Abwehrzentrum. 

Zwar kann das Bundesamt im Rahmen seiner ihm in § 3 BSIG zugewiesenen Aufga- 
ben (vergleiche insbesondere § 3 Absatz 1 Satz 2 Nummer 1 und § 3 Absatz 3 BSIG) 
auf Einwilligungsbasis und nach allgemeinem Datenschutzrecht bereits jetzt von Cy- 
ber-Attacken betroffene Stellen des Bundes und Betreiber Kritischer Infrastrukturen 
mit MIRTs vor Ort unterstützen und beraten. 

Es können im Rahmen einer Maßnahme der MIRTs aber auch Maßnahmen erforder- 
lich werden, die nicht von einer Einwilligung der betroffenen Einrichtung abgedeckt 
werden, da sie mit Eingriffen in das Fernmeldegeheimnis verbunden sind. Dies ist 
etwa der Fall, wenn zur Wiederherstellung der betroffenen Systeme der Netzwerk- 
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verkehr der betroffenen Einrichtungen analysiert werden muss. Hierfür ist zum einen 
eine ausdrückliche rechtliche Grundlage erforderlich; zum anderen sind die entspre- 
chenden Eingriffsschwellen und der Schutz personenbezogener Daten ausdrücklich 
zu regeln, um eine klare Rechtsgrundlage für die Maßnahmen der MIRTs zu schaf- 
fen. 

Durch Absatz 1 soll das BSI mit MIRTs künftig verstärkt auch operative Unterstüt- 
zung bei der Bewältigung von Sicherheitsvorfällen bei Stellen des Bundes und bei 
Betreibern Kritischer Infrastrukturen leisten können. Voraussetzung ist, dass es sich 
um einen herausgehobenen Fall handelt. Dabei wird das Bundesamt nur auf Ersu- 
chen der betroffenen Einrichtung tätig, da die MIRTs primär der Unterstützung der 
betroffenen Einrichtung dienen. Deshalb soll der betroffenen Einrichtung die Ent- 
scheidung überlassen werden, ob sie die Dienste des Bundesamtes in Anspruch 
nimmt. Wegen des zunehmenden Bedrohungspotentials und des damit verbundenen 
herausragenden öffentlichen Interesses an der Sicherheit der von § 5a BSIG erfass- 
ten Betroffenen, werden erste Maßnahmen zur Schadensbegrenzung und Sicherstel- 
lung des Notbetriebes vor Ort nicht kostenpflichtig sein. Hierdurch wird gewährleistet, 
dass von einem Hilfeersuchen nicht aus Kostengründen abgesehen wird. Zur Klar- 
stellung wird in Absatz 5 darauf hingewiesen, dass der Betroffene die Kosten für den 
Einsatz qualifizierter Dritter selbst zu tragen hat. Die Unterstützung des Bundesamtes 
dient alleine der schnellen Wiederherstellung der Sicherheit der betroffenen informa- 
tionstechnischen Systeme und soll keine günstige Alternative zur Beauftragung 
kommerzieller IT-Dienstleister darstellen. 

Aufgabe der MIRTs ist dabei zunächst die kurzfristige Unterstützung der betroffenen 
Einrichtung bei der Schadensbegrenzung und der Sicherstellung eines Notbetriebes 
vor Ort. Danach sollen die Betroffenen aber auch bei der forensischen Untersuchung 
des Vorfalles, der Beseitigung der Ursachen und damit der Wiederherstellung des 
Normalbetriebes unterstützt werden dürfen. Dies kann vor Ort oder aber z. B. auch 
im BSI erfolgen. Insbesondere forensische Arbeiten werden im Regelfall im BSI 
selbst erfolgen. 

Die Möglichkeit eines Einsatzes der MIRTs des BSI entbindet die um Unterstützung 
ersuchenden Einrichtungen jedoch nicht von der Pflicht, sich eigenständig auf Si- 
cherheitsvorfälle vorzubereiten. Insbesondere werden die MIRTs nur dann tätig, 
wenn die Stelle oder der Betreiber einer Kritischen Infrastruktur nicht mit eigenen Mit- 
teln in der Lage ist, die Vorfälle zu bewältigen. Die Ausgestaltung als „Kann- 
Regelung“ stellt klar, dass eine Pflicht des BSI zum Tätigwerden nicht besteht. Hie- 
raus folgt, dass ein Ersuchender keinen Anspruch auf ein Tätigwerden des BSI hat, 
sondern dem BSI ein Ermessensspielraum zusteht. 
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Die vom BSI zu ergreifenden Maßnahmen können unterschiedlicher Natur sein. Ne- 
ben Analysen der betroffenen informationstechnischen Systeme und des Netzwerk- 
verkehrs können dazu insbesondere auch aktive Sicherungsmaßnahmen gehören, 
wie etwa das Blockieren der Netzwerkverbindungen zu den Quellen der Gefährdung 
(z. B. zu den Kontrollservern des Angreifers oder zu den Ausgangspunkten von 
DDoS-Angriffen). 

In Absatz 2 wird festgelegt, wann ein herausgehobener Fall vorliegt, bei dem um Un- 
terstützung durch die MIRTs des Bundesamtes ersucht werden kann. Ein herausge- 
hobener Fall liegt insbesondere dann vor, wenn es sich um einen Angriff von beson- 
derer technischer Qualität handelt oder die zügige Wiederherstellung der Sicherheit 
oder Funktionsfähigkeit des betroffenen informationstechnischen Systems im beson- 
deren öffentlichen Interesse ist. 

Angriffe besonderer Qualität liegen etwa dann vor, wenn zumindest der Verdacht auf 
sogenannte Advanced Persistent Threats besteht, die sich dadurch auszeichnen, 
dass Standardsicherheitsmaßnahmen zur Abwehr nicht ausreichen. Eine besondere 
Qualität kann auch sogenannten DDoS-Angriffen zugeschrieben werden, sofern sie 
mit einer außergewöhnlichen Bandbreite oder Technik ausgeführt werden. Wird zum 
Beispiel ein Verschlüsselungstrojaner eingesetzt, kann es sein, dass der erste Angriff 
als außergewöhnlich einzustufen ist; diese Einstufung würde aber für spätere Fälle 
nicht mehr gelten, wenn in diesen Fällen keine neuen Techniken verwendet wurden 
und Anleitungen zum Umgang mit den Vorfällen bereits verfügbar sind. 

Ein besonderes öffentliches Interesse an der zügigen Wiederherstellung der Sicher- 
heit oder Funktionsfähigkeit des informationstechnischen Systems wird immer dann 
anzunehmen sein, wenn dessen Ausfall oder Beeinträchtigung spürbare Auswirkun- 
gen auf das Gemeinwohl zum Beispiel im Sinne der Versorgung der Allgemeinheit 
mit kritischen Dienstleistungen, auf die Sicherheit oder auf die Arbeitsfähigkeit von 
Stellen des Bundes haben kann oder diese aus einem anderen Grund ein gegenwär- 
tiges Anliegen der Allgemeinheit darstellen. Dies ist z. B. dann der Fall, wenn bei Be- 
treibern Kritischer Infrastrukturen ein Ausfall droht, Einrichtungen, von denen poten- 
zielle Gefahren für Leib und Leben der Bevölkerung ausgehen (z. B. Chemieanla- 
gen), angegriffen werden oder staatliche IT-Systeme durch Angreifer kompromittiert 
sind und dadurch die Funktionsfähigkeit und Vertraulichkeit ihres Handelns nicht 
mehr sichergestellt ist. 

In Absatz 3 ist der Umgang mit den personen- und kommunikationsbezogenen Daten 
geregelt, die das BSI bei seiner Unterstützung erheben und verarbeiten muss. Zur 
Analyse eines Cyber-Angriffes müssen Logdaten der betroffenen Systeme und Netze 
analysiert werden, um den Angriff und die Aktivitäten des Täters nachvollziehen zu 
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können. Üblicherweise verbleiben Täter nicht nur auf einem IT-System, sondern ver- 
suchen, sich im Netz des Angegriffenen auszubreiten. Die Aufklärung eines solchen 
Angriffs und die Bereinigung der infizierten Systeme können nur mittels umfassender 
Analyse der Log- und Kommunikationsdaten ermöglicht werden. Die personen- und 
kommunikationsbezogenen Daten, die das Bundesamt erhoben hat, sind nach Be- 
endigung der Unterstützung zu löschen. Ausnahmen gelten nur dann, wenn die Da- 
ten mit Einwilligung der betroffenen Stelle oder entsprechend § 5 Absatz 5 oder 6 
BSIG an eine andere Behörde zur Erfüllung ihrer gesetzlichen Aufgaben weitergege- 
ben worden sind. Dies ist im Hinblick auf die Abstimmung des Bundesamtes mit den 
Sicherheitsbehörden notwendig, die ebenfalls entsprechende Vor-Ort-Teams auf- 
bauen werden. Das in § 5 Absatz 7 und in § 8b Absatz 7 BSIG vorgesehene hohe 
Datenschutzniveau wird auf § 5a BSIG übertragen. Im Übrigen gelten zum Schutz 
natürlicher Personen bei der Verarbeitung personenbezogener Daten die Vorgaben 
des Bundesdatenschutzgesetzes. Für die Unterstützungsleistungen des BSI stellt § 
5a BSIG eine Sondernorm dar, die sonstigen Regelungen vorgeht. 

Nach Absatz 4 dürfen Informationen, von denen das BSI Kenntnis erlangt, von die- 
sem nur mit Einwilligung des Ersuchenden übermittelt werden, es sei denn, die wei- 
terzugebenden Informationen lassen keine Rückschlüsse auf die Identität des Ersu- 
chenden zu oder die Informationen können entsprechend § 5 Absatz 5 und 6 BSIG 
übermittelt werden. Diese Regelung dient dem Schutz der Interessen der unterstütz- 
ten Einrichtung. Sofern die Ergebnisse und Fakten bekannt würden, die bei der Ana- 
lyse und Wiederherstellung der Sicherheit oder Funktionsfähigkeit der informations- 
technischen Systeme erarbeitet wurden, könnten Angreifer daraus wertvolle Informa- 
tionen für neue Angriffe auf die Sicherheit dieser Systeme erhalten. Außerdem setzt 
die Einschaltung des BSI das Zutrauen der zu unterstützenden Stellen in die vertrau- 
liche Behandlung des Vorfalles voraus. Da sich allerdings aus den erhobenen und 
verarbeiteten Daten auch für Strafverfolgungsbehörden, Polizeien und Verfassungs- 
schutzbehörden wichtige Erkenntnisse für ihre Aufgabenwahrnehmung ergeben kön- 
nen, werden zur Übermittlung dieser Daten die bereits bewährten Verfahren nach § 5 
Absatz 5 und 6 BSIG übernommen. In diesem Zusammenhang begründen Angriffe, 
die eine Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informations- 
technischen Systems einer Stelle des Bundes, eines Betreibers einer Kritischen Inf- 
rastruktur oder einer vergleichbaren Stelle im Sinne des Absatzes 7 nach sich zie- 
hen, in der Regel zugleich auch den Anfangsverdacht der Begehung von Straftaten 
oder eine Gefahr für die öffentliche Sicherheit. Satz 3 regelt ferner, dass zum Schutz 
des öffentlichen Interesses an der Bewältigung der hier in Rede stehenden Sicher- 
heitsvorfälle, der hierfür zu treffenden Maßnahmen sowie der schutzwürdigen Inte- 
ressen der ersuchenden Stelle oder Einrichtung ein Zugang für Dritte (beispielsweise 
auf Grundlage des Informationsfreiheitsgesetzes) zu den Akten von Verfahren nach 
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§ 5a Absatz 1 BSIG ausgeschlossen wird. Soweit das BSI andere Behörden unter- 
stützt, bleibt das Recht auf Informationszugang gegenüber diesen Behörden unbe- 
rührt. 

Absatz 5 stellt klar, dass das Bundesamt nicht nur mit eigenen Mitteln unterstützen 
kann, sondern mit Zustimmung des Ersuchenden und auf dessen Kosten auch auf 
externe Unterstützung zurückgreifen darf. Gerade im Hinblick auf die notwendige 
Verarbeitung personenbezogener und dem Fernmeldegeheimnis unterfallender Da- 
ten ist diese Klarstellung erforderlich. Die Einbindung Dritter durch das Bundesamt 
kann in verschiedenen Formen geschehen. Zum einen kann das Bundesamt selbst 
externe Experten und Dienstleister mit der Wahrnehmung bestimmter Tätigkeiten 
beauftragen. Zum anderen kann es aber auch Dritte einbinden, die von der ersu- 
chenden Stelle bestimmt wurden. Es kann mit den Dritten auch Daten austauschen. 
Hierbei sind die Vorgaben des Absatzes 3 einzuhalten. 

Unter den Begriff der Dritten fallen auch natürliche und juristische Personen, die sich 
im Rahmen einer IT-Sicherheitskooperation mit dem Bundesamt bereiterklärt haben, 
in Notfällen zu helfen, obwohl sie hierzu nicht verpflichtet sind. Dies werden in der 
Regel Spezialisten anderer Unternehmen sein, die diese im Wege der gegenseitigen 
Hilfe und Unterstützung entsenden. Mit dieser Möglichkeit zur Einbindung freiwilliger 
Helfer aus der Mitte der Wirtschaft wird der Gedanke von der Cyber-Sicherheit als 
gesamtgesellschaftlicher Aufgabe auch legislativ mit Leben gefüllt. Anders als bei § 3 
Absatz 3 BSIG bezieht sich die Regelung im neuen § 5a Absatz 5 BSIG auch explizit 
nicht nur auf Dritte, die IT-Sicherheitsdienstleistungen anbieten, sondern generell auf 
qualifizierte Dritte. Dies trägt der Tatsache Rechnung, dass das Ziel der Unterstüt- 
zung nicht nur die reine Absicherung ist, sondern die Wiederherstellung des sicheren 
(Regel-)Betriebs des informationstechnischen Systems. Dies gilt insbesondere bei 
Vorfällen mit Spezial-IT, zu der im BSI keine ausreichenden Fachkenntnisse für eine 
rasche Unterstützung vorliegen. 

Anstelle der oder zusätzlich zur eigenen Unterstützung kann das Bundesamt be- 
troffene Stellen auf qualifizierte Dritte verweisen, die bei der Wiederherstellung der 
Sicherheit der informationstechnischen Systeme herangezogen werden können. Hin- 
tergrund der Regelung ist, dass das Bundesamt nur begrenzte Ressourcen hat. 
Gleichzeitig fehlt den Betroffenen im akuten Notfall die Zeit für eine Marktsichtung. 
Daher besteht die Erwartung, dass das Bundesamt zumindest eine Auswahl geeig- 
neter Dienstleister oder sonstiger qualifizierter Dritter benennen kann. Da entspre- 
chende Daten beim Bundesamt ohnehin für die Unterstützung der Betreiber Kriti- 
scher Infrastrukturen nach § 3 Absatz 3 BSIG zusammengestellt werden müssen, 
sollen diese Daten auch im Übrigen Verwendung finden können. Die Auswahl des 
Dritten obliegt der betroffenen Stelle selbst. 
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In Anlehnung an § 8b Absatz 6 BSIG sieht § 5a Absatz 6 BSIG vor, dass das Bun- 
desamt die Hersteller der betroffenen informationstechnischen Systeme auffordern 
kann, bei der Analyse und Wiederherstellung der Sicherheit oder Funktionsfähigkeit 
mitzuwirken. Insbesondere wenn die IT-Sicherheit durch eine Sicherheitslücke in der 
verwendeten Hard- oder Software gefährdet wird, kann in erster Linie der Hersteller 
des jeweiligen Produktes schnell und nachhaltig zur Wiederherstellung der Sicherheit 
oder Funktionsfähigkeit beitragen - etwa durch das zeitnahe Bereitstellen eines Si- 
cherheitspatches. Aus Gründen der Verhältnismäßigkeit darf der Hersteller nicht zur 
kostenlosen Mitwirkung herangezogen werden, wenn die ersuchende Stelle Soft- 
oder Hardware einsetzt, deren Supportzeitraum bereits abgelaufen ist, und der Her- 
steller das Ende des Supportzeitraumes rechtzeitig angekündigt hat. In diesem Fall 
hat die ersuchende Einrichtung dem Hersteller die entstandenen Kosten zu ersetzen. 
Die Mitwirkungspflicht des Herstellers bleibt davon unberührt. 

In Absatz 7 wird dem BSI die Möglichkeit eingeräumt, in begründeten Einzelfällen 
auch andere Einrichtungen bei der Analyse und Wiederherstellung der Sicherheit 
oder Funktionsfähigkeit ihrer informationstechnischen Systeme zu unterstützen. Ein 
begründeter Einzelfall liegt dann vor, wenn (neben den sonstigen Voraussetzungen 
des Absatzes 1) ein vergleichbares öffentliches Interesse an der Behebung des Si- 
cherheitsvorfalls besteht, auch wenn die betroffene Einrichtung nicht zu dem Adres- 
satenkreis des Absatzes 1 zählt. Zwar soll der Einsatz der MIRTs primär auf den Ad- 
ressatenkreis des Absatzes 1 beschränkt bleiben. Dem BSI soll aber die Möglichkeit 
eröffnet werden, ausnahmsweise auch in anderen Fallkonstellationen tätig werden zu 
können. Dies kann etwa dann der Fall sein, wenn Anlagen oder Systeme von Unter- 
nehmen, welche sich in der staatlichen Geheimschutzbetreuung befinden, angegrif- 
fen werden oder Anlagen oder Systeme von Organisationen betroffen sind, deren 
Ausfall oder Beeinträchtigung ähnlich weitreichende Auswirkungen hätte wie der 
Ausfall Kritischer Infrastrukturen. Solche Auswirkungen können etwa bei erfolgrei- 
chen Angriffen auf Unternehmen mit besonderem Sicherheitsbezug oder besonde- 
rem Gefahrenpotenzial (z. B. Unternehmen der chemischen Industrie) oder auf große 
Konzerne sowie deren Zulieferer eintreten. Durch die starke Vernetzung und moder- 
ne Just-in-Time-Lieferungen wirken sich erfolgreiche Angriffe nicht nur auf das unmit- 
telbar angegriffene, sondern auf viele assoziierte Unternehmen aus. Aufgrund der 
erheblich schädigenden Auswirkungen von Betriebsausfällen auf die Wertschöpfung 
in der gesamten Bundesrepublik und des drohenden Verluste einiger zehntausend 
Arbeitsplätze wäre das Gemeinwohl in ähnlich starkem Ausmaß gefährdet. In Be- 
tracht kommen aber auch Einrichtungen, deren besondere politische, wirtschaftliche 
oder gesellschaftliche Bedeutung im Fall eines erheblichen Angriffs staatliches Ein- 
greifen erforderlich erscheinen lässt. 
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Mit dem neuen Absatz 8 wird eine angemessene Berücksichtigung von Aspekten der 
nuklearen Sicherheit durch die Einbeziehung der Aufsichtsbehörden gewährleistet. 
Eine Regelung ist notwendig, um die besonderen Belange im Atomrecht sowie der 
damit verbundenen Gewährleistung der nuklearen Sicherheit und nuklearen Siche- 
rung von kerntechnischen Anlagen und Tätigkeiten sowie des Geheimschutzes zu 
berücksichtigen. Daher ist insbesondere in Fällen der Absätze 1, 4, 5 und 7 vor Tä- 
tigwerden des BSI das Benehmen mit den zuständigen atomrechtlichen Aufsichtsbe- 
hörden des Bundes und der Länder herzustellen, da unmittelbare Auswirkungen auf 
Sicherungsmaßnahmen nach dem Atomgesetz möglich sind. Da Sicherungsmaß- 
nahmen auf Grundlage des Atomgesetzes in der Regel auch dem Geheimschutz un- 
terliegen, ist auch aus diesem Grund das Benehmen mit den atomrechtlich zuständi- 
gen Aufsichtsbehörden herzustellen. Hierdurch soll eine gegenseitige Beeinflussung 
von jeweils in unterschiedlichen Rechtsgebieten zuständigen Behörden vermieden 
werden. Analog zu der mit Inkrafttreten des IT-Sicherheitsgesetzes vom 17. Juli 2015 
(BGBl. I S. 1324) eingeführten Regelung im Energiewirtschaftsgesetz haben aus den 
oben genannten Gründen die Vorgaben aufgrund des Atomgesetzes zur nuklearen 
Sicherheit und nuklearen Sicherung kerntechnischer Anlagen und Tätigkeiten sowie 
des Geheimschutzes Vorrang.“ 

Zu Nummer 5 (Änderung des § 7a BSIG) 

Im Rahmen der Analyse und Wiederherstellung der Sicherheit und Funktionsfähigkeit 
informationstechnischer Systeme nach § 5a BSIG muss das Bundesamt auch die 
Möglichkeit haben, diese Systeme vollständig zu untersuchen, erforderlichenfalls 
auch mittels Reverse-Engineering. Um Auslegungsfragen zur Reichweite der beste- 
henden Regelung vorzubeugen, wird dies mit der Änderung des § 7a Absatz 1 Satz 
1 BSIG klargestellt. 

Zu Nummer 6 (Änderung des § 8a BSIG) 

Die Änderungen des § 8a Absatz 3 BSIG und der neu eingefügte Absatz 4 dienen 
der Umsetzung von Artikel 15 der NIS-Richtlinie. Nach Artikel 15 Absatz 2 der NIS- 
Richtlinie muss die zuständige Behörde die Umsetzung der organisatorischen und 
technischen Vorkehrungen zur Vermeidung von Störungen der informationstechni- 
schen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit Kriti- 
scher Infrastrukturen maßgeblich sind, überprüfen und von den Betreibern Kritischer 
Infrastrukturen verlangen können, dass sie die zur Bewertung der Sicherheit ihrer 
Netz- und Informationssysteme erforderlichen Informationen, einschließlich der do- 
kumentierten Sicherheitsmaßnahmen, zur Verfügung stellen. Der Nachweis für eine 
wirksame Umsetzung der Sicherheitsmaßnahmen kann wie bisher durch einen quali- 
fizierten Prüfer erbracht werden, der die Anforderungen nach Absatz 5 erfüllt. Für 
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diesen Fall ist in Artikel 15 Absatz 2 Buchstabe b) der NIS-Richtlinie vorgesehen, 
dass neben den Ergebnissen der Überprüfung durch einen qualifizierten Prüfer auch 
die diesen zugrunde gelegten Nachweise verlangt werden können. 

Das BSI kann derzeit die von den Betreibern Kritischer Infrastrukturen zu treffenden 
Sicherheitsmaßnahmen nur überprüfen, soweit diese konkrete Mängel anzeigen. 
Nach Artikel 15 der NIS-Richtlinie muss dies zukünftig auch unabhängig hiervon 
möglich sein. Die Betreiber müssen derzeit zudem nur eine Aufstellung der durchge- 
führten Audits, Prüfungen oder Zertifizierungen (einschließlich der dabei aufgedeck- 
ten Sicherheitsmängel) vorlegen. 

Mit den Änderungen in Absatz 3 Satz 3 und der Einfügung des neuen Satzes 4 wird 
die Nachweispflicht der Betreiber Kritischer Infrastrukturen entsprechend angepasst. 
Mit den Änderungen in Satz 3 wird klargestellt, dass die vorzulegende Aufstellung 
der durchgeführten Audits, Prüfungen oder Zertifizierungen auch die Ergebnisse 
ausweisen muss. Mit dem neuen Satz 4 wird dem BSI die Möglichkeit eröffnet, er- 
gänzend die Vorlage der Dokumente, die die Maßnahmen nach Absatz 1 belegen 
und daher den Überprüfungen zugrunde gelegt wurden, zu verlangen. Eine Auswei- 
tung der zweijährigen Nachweispflicht für die Betreiber ist hiermit nicht verbunden. 
Damit im Rahmen der Überprüfung durch die Betreiber nach Absatz 3 die Einhaltung 
der Anforderungen nach Absatz 1 hinreichend belegt werden kann, sollen der Über- 
prüfung Dokumente z. B. zur Risikoanalyse ebenso zugrunde gelegt werden, wie z. 
B. solche zur Dokumentation der nach Absatz 1 ergriffenen konkreten Maßnahmen 
oder bereits Vorgefundene Ergebnisse von Teilprüfungen (z. B. Zertifizierungen). Zu 
diesen Dokumenten zählen z. B. IT-Sicherheitskonzepte, Prozessdokumentationen, 
Continuity-Management- und Notfallkonzepte. 

Mit dem neuen Absatz 4 wird dem BSI eine Befugnis zum Betreten der Einrichtungen 
des Betreibers Kritischer Infrastrukturen und zur Einsichtnahme in die für den Nach- 
weis der Erfüllung der Anforderungen nach Absatz 1 relevante Dokumentation und 
zur Begutachtung der getroffenen Umsetzungsmaßnahmen beim Betreiber einge- 
führt. Das Bundesamt wird so in die Lage versetzt, unabhängig von der Anzeige kon- 
kreter Mängel durch den Betreiber zu bewerten, ob die Betreiber ihren Pflichten nach 
Absatz 1 der Vorschrift nachkommen. Der neue Absatz 4 dient damit ebenfalls der 
effektiven Umsetzung von Artikel 15 Absatz 1 und 2 der NIS-Richtlinie. Die Einräu- 
mung eines Betretungsrechts unter Wahrung der grundrechtlichen Anforderungen 
sowie der Verhältnismäßigkeit dient der Umsetzung des Auftrags an die Mitgliedstaa- 
ten nach Artikel 15 der NIS-Richtlinie, eine effektive Kontrolle der Einhaltung der An- 
forderungen nach Artikel 14 der NIS-Richtlinie sicherzustellen. Für die Betreiber stellt 
die Einsichtnahme vor Ort in der Regel eine geringere Belastung dar als die Vorlage 
der gesamten und umfassenden Dokumentation der Sicherheitsmaßnahmen. Das 
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Bundesamt wird gleichzeitig in die Lage versetzt, den notwendigen Umfang und die 
tatsächliche Umsetzung der einzuhaltenden Maßnahmen zu überprüfen. Von der 
Möglichkeit zur Einsichtnahme beim Betreiber soll unter anderem dann Gebrauch 
gemacht werden, wenn die Prüfung der vom Betreiber nach § 8a Absatz 3 Satz 1 
vorgelegten Nachweise in begründeten Einzelfällen nicht ausreichend ist. Nach Satz 
1 kann sich das Bundesamt bei der Prüfung der Einhaltung der Anforderungen nach 
Absatz 1 einer qualifizierten Stelle bedienen. Qualifizierte Stelle im Sinne der Vor- 
schrift können unter anderem nach § 9 Absatz 3 BSIG anerkannte Stellen sein, so- 
weit sie über die notwendige Expertise und Neutralität verfügen. Dies sind z. B. vom 
BSI zertifizierte IT-Sicherheitsdienstleister wie Penetrationstester oder Grundschutz- 
Auditoren. Da die Umsetzung der Anforderungen nach Absatz 1 und der entspre- 
chende Nachweis in der Verantwortung des Betreibers liegen, ist es sachgerecht und 
verhältnismäßig, dass dieser nach Satz 3 in Fällen berechtigter Zweifel an der ord- 
nungsgemäßen Einhaltung die Kosten für eine zusätzlich erforderliche Einsichtnah- 
me trägt. 

Zu Nummer 7 (Änderung des § 8b BSIG) 

Die Einfügung eines neuen Buchstaben d in § 8b Absatz 2 Nummer 4 BSIG dient der 
Umsetzung von Artikel 14 Absatz 5 der NIS-Richtlinie, der die Unterrichtung der zu- 
ständigen Behörden in einem anderen Mitgliedstaat der Europäischen Union vor- 
sieht, soweit ein gemeldeter Vorfall erhebliche Auswirkungen auf die Verfügbarkeit 
wesentlicher Dienste in diesem Mitgliedstaat hat. Zuständige Behörden in einem an- 
deren Mitgliedstaat der Europäischen Union sind die zentralen Anlaufstellen im Be- 
reich der Netz- und Informationssicherheit, die nach Artikel 8 Absatz 3 der NIS- 
Richtlinie jeder Mitgliedstaat der Europäischen Union zu benennen hat und die nach 
Artikel 8 Absatz 4 der NIS-Richtlinie als Verbindungsstelle zur Gewährleistung der 
grenzüberschreitenden Zusammenarbeit dienen. Gemäß Artikel 8 Absatz 7 der NIS- 
Richtlinie veröffentlicht die Kommission eine Liste der benannten zentralen Anlauf- 
stellen. Die Feststellung erheblicher Auswirkungen in einem anderen Mitgliedstaat 
erfolgt auf der Grundlage der Angaben des betroffenen Betreibers. 

Die Änderung in Absatz 3 dient der Klarstellung. Die Pflicht zur Registrierung der 
Kontaktstellen betrifft ausschließlich Betreiber, die eine Kritische Infrastruktur im Sin- 
ne der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz 
(BSI-KritisV) betreiben. 

Die Änderung in Absatz 4 Satz 1 dient der Umsetzung von Artikel 14 Absatz 3 und 4 
der NIS-Richtlinie. Das Erheblichkeitskriterium bezieht sich danach nicht auf den 
Grad des IT-Vorfalls, sondern auf den Grad der Beeinträchtigung der Funktionsfähig- 
keit der Kritischen Infrastruktur. Dies wird durch die Änderung nachgezogen. 
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Mit der Änderung des Absatzes 4 Satz 2 wird bei den zu meldenden Angaben statt 
auf die Branche des Betreibers auf die von ihm erbrachten kritischen Dienstleistun- 
gen Bezug genommen. Die Vorschrift wird damit an die Systematik der NIS-Richtlinie 
angepasst, nach deren Artikel 14 die Meldepflicht an Auswirkungen auf einzelne 
Dienste anknüpft; zudem wird die in § 10 Absatz 1 BSIG bereits entsprechend ange- 
legte Systematik zur Bestimmung Kritischer Infrastrukturen abgebildet, die innerhalb 
der jeweiligen Sektoren nicht zwischen Branchen, sondern zwischen kritischen 
Dienstleistungen unterscheidet. Gleichzeitig wird der zu meldende Inhalt auf diejeni- 
gen Auswirkungen auf die Dienstleistungserbringung bezogen, die bereits zum Zeit- 
punkt der Meldung bekannt waren. 

Die weiteren Änderungen in Absatz 4 Satz 2 dienen der Umsetzung des Artikels 14 
Absatz 3 der NIS-Richtlinie. Darin ist vorgesehen, dass Meldungen der Betreiber Kri- 
tischer Infrastrukturen die Informationen enthalten müssen, die es der zuständigen 
Behörde ermöglichen, zu bestimmen, ob ein Sicherheitsvorfall grenzüberschreitende 
erhebliche Auswirkungen hat. Das BSI wird so in die Lage versetzt, seiner Verpflich- 
tung zur Unterrichtung der zuständigen Behörden in einem anderen Mitgliedstaat der 
Europäischen Union nach Absatz 2 Buchstabe d nachzukommen. Betreiber sollten 
bei den Angaben zu erheblichen Auswirkungen in einem anderen Mitgliedstaat ins- 
besondere die in Artikel 14 Absatz 3 der NIS-Richtlinie genannten Parameter berück- 
sichtigen. 

Zu Nummer 8 (Einfügen eines neuen § 8c BSIG - Besondere Anforderungen an 
Anbieter digitaier Dienste) 

Der neu eingefügte § 8c BSIG dient der Umsetzung der Vorgaben der NIS-Richtlinie 
für Anbieter digitaler Dienste und der damit verbundenen Aufsicht durch das BSI. Mit 
Absatz 1 werden die Vorgaben des Artikels 16 Absatz 1 und 2 der NIS-Richtlinie um- 
gesetzt. 

Mit Absatz 2 werden die Vorgaben des Artikels 16 Absatz 3 und 4 der NIS-Richtlinie 
umgesetzt, mit denen eine Pflicht zur Meldung von Sicherheitsvorfällen, die erhebli- 
che Auswirkungen auf die Bereitstellung eines digitalen Dienstes haben, eingeführt 
wird. Die Sätze 2 und 4 stellen klar, dass Form und Verfahren der Meldepflicht sowie 
die genauere Bestimmung der Parameter zur Feststellung, wann ein Sicherheitsvor- 
fall erhebliche Auswirkungen auf die Bereitstellung eines digitalen Dienstes hat, ge- 
mäß Artikel 16 Absatz 8 und 9 der NIS-Richtlinie durch Durchführungsrechtsakte der 
Kommission näher bestimmt werden. Mit Satz 5 wird die Verpflichtung aus Artikel 16 
Absatz 6 der NIS-Richtlinie umgesetzt. Danach sind zuständige Behörden eines an- 
deren Mitgliedstaats der Europäischen Union über gemeldete Sicherheitsvorfälle zu 
unterrichten, soweit diese Auswirkungen in diesem Mitgliedstaat haben. Zuständige 
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Behörden eines anderen Mitgliedstaats der Europäischen Union sind die zentralen 
Anlaufstellen im Bereich der Netz- und Informationssicherheit, die nach Artikel 8 Ab- 
satz 3 der NIS-Richtlinie jeder Mitgliedstaat der Europäischen Union zu benennen 
hat und die nach Artikel 8 Absatz 4 der NIS-Richtlinie als Verbindungsstelle zur Ge- 
währleistung der grenzüberschreitenden Zusammenarbeit dienen. Gemäß Artikel 8 
Absatz 7 der NIS-Richtlinie veröffentlicht die Kommission eine Liste der benannten 
zentralen Anlaufstellen. 

Absatz 3 beinhaltet die in Artikel 17 der NIS-Richtlinie vorgesehene Befugnis zu Auf- 
sichts- und Kontrollmaßnahmen, soweit Anbieter digitaler Dienste den in den Absät- 
zen 1 und 2 vorgesehenen Pflichten nachweislich nicht oder nur unzureichend nach- 
gekommen sind. Als Nachweise gelten auch Feststellungen, die dem BSI von den 
zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorge- 
legt werden. Auf diese Weise wird eine angemessene Kontrolle und Aufsicht für die 
Fälle sichergestellt, in denen der Ort der Hauptniederlassung und die Netz- und In- 
formationssysteme, die im Rahmen der Bereitstellung der angebotenen digitalen 
Dienste genutzt werden, in unterschiedlichen Mitgliedstaaten der Europäischen Uni- 
on belegen sind. 

Anbieter digitaler Dienste unterliegen den Sicherheitsanforderungen, wenn sie einen 
digitalen Dienst zur Nutzung innerhalb der Bundesrepublik Deutschland bereitstellen 
oder, soweit sie einen digitalen Dienst ausschließlich in einem oder mehreren ande- 
ren Mitgliedstaat der Europäischen Union zur Nutzung bereitstellen, wenn sie ihren 
Hauptsitz in der Bundesrepublik Deutschland haben oder dort Netz- und Informati- 
onssysteme betreiben, die sie im Rahmen der Bereitstellung der digitalen Dienste 
innerhalb der Europäischen Union nutzen. 

Zu Nummer 9 (Änderung und Neunummerierung des § 8d BSIG) 

Mit den Änderungen in § 8d (neu) Absatz 1 BSIG wird ein redaktionelles Versehen 
bei dem Verweis auf die Empfehlung 2003/361/EC der Kommission korrigiert. 

Mit der Ergänzung des Absatzes 2 Nummer 2 wird eine redaktionelle Klarstellung zur 
Reichweite der Ausnahme vorgenommen. 

Die Änderung in Absatz 3 dient der Umsetzung von Artikel 5 Absatz 5 sowie Artikel 9 
Absatz 1 in Verbindung mit Anhang 1 Absatz 2 Buchstabe a der NIS-Richtlinie. Bis- 
her müssen Kontaktstellen nicht von den in § 8d (neu) Absatz 3 Nummer 1 bis 4 ge- 
nannten Betreibern benannt werden. Mit der Änderung in Absatz 3 wird die Verpflich- 
tung zur Benennung einer Kontaktstelle in § 8b Absatz 3 BSIG auf diese Betreiber 
ausgeweitet. Die Änderung dient dazu, die Bereitstellung der nach Artikel 5 Absatz 7 
Buchstabe c der NIS-Richtlinie geforderten Informationen der Betreiber zu ermögli- 
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chen und eine Ausgabe von Warnungen bzw. die Verbreitung von Informationen ge- 
mäß Artikel 9 in Verbindung mit Anhang 1 Absatz 2 Buchstabe a sicherzustellen. Ei- 
ne Übermittlung von Daten, die eine Identifizierung einzelner Betreiber ermöglichen, 
findet nicht statt. Zusätzlich wird den spezialgesetzlich zur Meldung verpflichteten 
Betreibern die Möglichkeit eingeräumt, eine gemeinsame Ansprechstelle nach § 8b 
Absatz 5 BSIG zu benennen. 

Anbieter digitaler Dienste unterliegen den Sicherheitsanforderungen, wenn sie einen 
digitalen Dienst zur Nutzung innerhalb der Bundesrepublik Deutschland bereitstellen 
oder, soweit sie einen digitalen Dienst ausschließlich in einem oder mehreren ande- 
ren Mitgliedstaaten der Europäischen Union zur Nutzung bereitstellen, wenn sie ihren 
Hauptsitz in der Bundesrepublik Deutschland haben oder dort Netz- und Informati- 
onssysteme betreiben, die sie im Rahmen der Bereitstellung der digitalen Dienste 
innerhalb der Europäischen Union nutzen. Mit Absatz 4 wird klargestellt, dass die 
Meldepflichten nach dem neuen § 8c Absatz 2 dann nicht greifen, wenn Meldungen 
durch Anbieter bereits an die zuständige Behörde eines anderen Mitgliedstaats der 
Europäischen Union erfolgen, weil er dort seinen Hauptsitz oder, soweit er nicht in 
einem Mitgliedstaat der Europäischen Union niedergelassen ist, einen Vertreter in 
einem anderen Mitgliedstaat der Europäischen Union benannt hat, in dem die digita- 
len Dienste ebenfalls angeboten werden. Gleichzeitig wird klargestellt, dass der neue 
§ 8c Absatz 3 für diese Anbieter nur gilt, soweit sie in der Bundesrepublik Deutsch- 
land Netz- und Informationssysteme betreiben, die sie im Rahmen der Bereitstellung 
der digitalen Dienste innerhalb der Europäischen Union nutzen. Der Gerichtsstand 
richtet sich nach den allgemeinen Vorschriften. Zur Bestimmung des Gerichtsstands 
ist danach an den Hauptsitz beziehungsweise an die Vertretung des Diensteanbie- 
ters anzuknüpfen; bei Anbietern aus Drittstaaten im Übrigen, wenn ein digitaler 
Dienst im Inland angeboten wird. 

Zu Nummer 10 (Änderung und Neunummerierung des § 8e BSIG) 

Mit den Änderungen in § 8e (neu) Absatz 1 BSIG wird der Anwendungsbereich der 
zu Kritischen Infrastrukturen bestehenden Spezialregelung im Sinne von § 1 Absatz 
3 des Informationsfreiheitsgesetzes auf Anbieter digitaler Dienste nach § 8c ausge- 
weitet. Damit soll dem Schutz der insbesondere im Meldeverfahren zu übermitteln- 
den hochsensiblen Informationen hinreichend Rechnung getragen werden. Zugleich 
werden die Regelungen des Artikels 16 Absatz 7 der NIS-Richtlinie zur Wahrung der 
Vertraulichkeit der von den Betreibern und Anbietern gemeldeten Informationen um- 
gesetzt. 

Für den Bereich der Kritischen Infrastrukturen bestehen entsprechende Vorgaben in 
Artikel 14 Absatz 6 der NIS-Richtlinie. Mit der Neufassung des Absatzes 2 wird si- 
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chergestellt, dass die Sicherheit und Sicherung von Kritischen Infrastrukturen bei der 
Gewährleistung von Akteneinsichtsrechten nicht beeinträchtigt werden. Mit dem neu 
eingefügten Absatz 3 wird klargestellt, dass die Vertraulichkeitsregelungen auch für 
Betreiber gelten, die spezialgesetzlich geregelten Pflichten unterliegen. 

Zu Nummer 11 (Änderung des § 10 BSIG) 

Mit dem neuen § 10 Absatz 4 BSIG wird die Ermächtigung zum Erlass einer Rechts- 
verordnung geschaffen, soweit dies für die Umsetzung der Durchführungsrechtsakte 
der Kommission nach Artikel 16 Absatz 8 und 9 der NIS-Richtlinie erforderlich ist. Die 
Erforderlichkeit ist nur gegeben, wenn und soweit die Herstellung der vollen An- 
wendbarkeit und Durchführung der Kommissionsrechtsakte ergänzender nationalen 
Bestimmungen bedarf und der Anwendungsvorrang des Unionsrechts einer nationa- 
len Regelung nicht entgegensteht. Die betreffenden Bestimmungen werden im Ein- 
vernehmen mit den betroffenen Ressorts festgelegt. Hierzu gehören die Ressorts, 
die in § 13 Absatz 3 genannt sind, sowie gegebenenfalls weitere betroffene Ressorts. 

Zu Nummer 12 (Änderung des § 11 BSIG) 

Die Änderung dient der Wahrung des Zitiergebotes nach Artikel 19 Absatz 1 Satz 2 
GG im Hinblick auf die Eingriffe in das Fernmeldegeheimnis, die mit den Analyse- 
und Wiederherstellungsmaßnahmen des BSI nach § 5a BSIG einhergehen. 

Zu Nummer 13 (Einfügung eines neuen § 13 Absatz 3 bis 5 BSIG) 

Die neu in § 13 BSIG eingefügten Absätze 3 und 4 dienen der Umsetzung von Artikel 
5 der NIS-Richtlinie. 

Mit dem neuen Absatz 3 werden die Pflichten zur Berichterstattung an die Kommissi- 
on im nationalen Recht festgeschrieben. Die in Absatz 3 Nummer 1 bis 3 genannten 
Informationen sind der Kommission gemäß Artikel 5 Absatz 7 der NIS-Richtlinie bis 
zum 9. November 2018 und danach alle zwei Jahre zu übermitteln, damit diese die 
Umsetzung der Richtlinie bewerten kann, insbesondere, ob die Mitgliedstaaten der 
Europäischen Union bei der Ermittlung der Betreiber Kritischer Infrastrukturen einen 
einheitlichen Ansatz verfolgen. Die Informationen nach den Nummern 1 und 2 bein- 
halten insbesondere die in der Verordnung nach § 10 Absatz 1 BSIG festgelegten 
Dienstleistungen und Schwellenwerte. Die nach Nummer 3 bereitzustellenden Infor- 
mationen umfassen eine zahlenmäßige Zusammenfassung der Betreiber für jeden 
der in Anhang II zur NIS-Richtlinie genannten Sektoren, soweit dies nicht zu einer 
Identifizierbarkeit einzelner Betreiber, Einrichtungen oder Anlagen führt. Die Über- 
mittlung von Listen einzelner Betreiber zu Einrichtungen oder Anlagen, die als Kriti- 
sche Infrastrukturen eingestuft sind, ist ausgeschlossen. Soweit die Kommission 
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technische Leitlinien nach Artikel 5 Absatz 7 der NIS-Richtlinie erlässt, um zur Bereit- 
stellung vergleichbarer Informationen beizutragen, sind diese nach Maßgabe der Ar- 
tikel 1 Absatz 5 und 6 der NIS-Richtlinie zu berücksichtigen. 

Mit Absatz 4 werden die Vorgaben des Artikels 5 Absatz 4 der NIS-Richtlinie umge- 
setzt, der eine gegenseitige Konsultationspflicht der Mitgliedstaaten der Europäi- 
schen Union vorsieht, soweit bestimmte Einrichtungen kritische Dienstleistungen in 
mehr als einem Mitgliedstaat erbringen. Die Neuregelung sieht vor, dass Konsultatio- 
nen nach Bekanntwerden der grenzüberschreitenden Erbringung von Dienstleistun- 
gen aufgenommen werden müssen. Damit wird sichergestellt, dass die vorgesehene 
gegenseitige Information und Abstimmung zum frühestmöglichen Zeitpunkt beginnt. 

Absatz 5 dient der Umsetzung der Berichtspflichten nach Artikel 10 Absatz 3 Satz 2 
der NIS-Richtlinie, mit dem die Mitgliedstaaten der Europäischen Union verpflichtet 
werden, der mit Artikel 11 der NIS-Richtlinie einzurichtenden Kooperationsgruppe der 
Mitgliedstaaten bis zum 9. August 2018 und dann jährlich zu den eingegangenen 
Meldungen nach den Artikeln 14 und 16 der NIS-Richtlinie zu berichten. Die vorzule- 
genden Berichte müssen einen zusammenfassenden Überblick über die eingegan- 
genen Meldungen, einschließlich der Anzahl der eingegangen Meldungen, sowie die 
Art der gemeldeten Sicherheitsvorfälle enthalten. Dabei ist die Vertraulichkeit der 
Meldungen und der Betreiber und Anbieter digitaler Dienste zu wahren. Kann die 
Vertraulichkeit der Meldungen und der Betreiber und Anbieter im Einzelfall aufgrund 
der Detailtiefe der zu übermittelnden Informationen oder aus sonstigen Gründen 
nicht gewährleistet werden, ist die Übermittlung entsprechend einzuschränken. Die 
vom BSI der Kooperationsgruppe der Mitgliedstaaten vorzulegenden Berichte enthal- 
ten teilweise Informationen, die für die Cyber-/IT-Sicherheit Deutschlands von grund- 
sätzlicher Bedeutung sind. Das BMI als Aufsichtsbehörde über das BSI stellt daher 
vor der Einreichung des Berichts durch das BSI mit den jeweils inhaltlich betroffenen 
Ressorts Einvernehmen zu den Berichten her. 

Zu Nummer 14 (Änderung des § 14 BSIG) 

Die Änderungen dienen der Ausweitung der Bußgeldvorschriften auf die Anbieter 
digitaler Dienste und setzen insofern die Vorgaben des Artikels 21 der NIS-Richtlinie 
um, nach denen die Mitgliedstaaten der Europäischen Union wirksame, angemesse- 
ne und abschreckende Sanktionen für Verstöße gegen die nach der Richtlinie erlas- 
senen nationalen Bestimmungen vorsehen und die erforderlichen Maßnahmen tref- 
fen müssen, um deren Anwendung sicherzustellen. Die Bußgeldvorschriften sind 
anwendbar auf alle Anbieter, die digitale Dienste innerhalb der Bundesrepublik 
Deutschland anbieten, sofern sie nicht ihre Hauptniederlassung in einem anderen 
Mitgliedstaat der Europäischen Union haben oder, sofern sie nicht in einem anderen 
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Mitglied Staat der Europäischen Union niedergelassen sind, dort einen Vertreter be- 
nannt haben und in diesem Mitgliedstaat dieselben digitalen Dienste anbieten. 

Zu Nummer 15 (neuer § 15 BSIG > Anwendbarkeit der Vorschriften für Anbieter 
digitaler Dienste) 

Mit der Vorschrift wird eine Übergangsregelung zur Anwendbarkeit der Vorschriften 
getroffen, die die Anbieter digitaler Dienste betreffen. Bezüglich der für diese gelten- 
den Mindestanforderungen und Meldepflichten, der hierzu durchzuführenden Auf- 
sicht und der Sanktionierung von Verstößen sieht die NIS-Richtlinie eine EU-weit 
einheitliche Regelung und Anwendung vor. Dies schließt auch Regelungen zur zu- 
ständigen Stelle und zur gerichtlichen Durchsetzung gegenüber den in der Regel 
grenzüberschreitend tätigen Anbietern ein. Die der Umsetzung der Artikel 16 bis 18 
der NIS-Richtlinie dienenden §§ 8c und 10 Absatz 4 (Verordnungsermächtigung) und 
§ 14 (Sanktionen) sind daher entsprechend der in Artikel 25 der NIS-Richtlinie vorge- 
sehenen Umsetzungsfrist erst ab dem 10. Mai 2018 anwendbar. 

Zu Artikel 2 (Änderung des § 44b des Atomgesetzes) 

Die neu aufgenommene Regelung in § 8b Absatz 2 Nummer 4 Buchstabe d) 
BSI-Gesetz dient der Umsetzung von Artikel 14 Absatz 5 der Richtlinie (EU) 
2016/1148, der die Unterrichtung der zuständigen Behörden in einem anderen Mit- 
gliedstaat der Europäischen Union vorsieht, soweit ein gemeldeter Vorfall erhebliche 
Auswirkungen auf die Verfügbarkeit wesentlicher Dienste in diesem Mitgliedstaat hat. 
Diese Regelung gilt jedoch lediglich für die Dienste, die Gegenstand der EU- 
Richtlinie sind. Grenzüberschreitende Beeinträchtigungen, die auf Gründen der nuk- 
learen Sicherheit beruhen, sind nicht Gegenstand der Richtlinie. Für diesen Bereich 
existieren bereits unter EURATOM, im Atomgesetz sowie in bi- und multilateraler 
Abkommen getroffene Vereinbarungen. Bei erheblichen Störungen in der Anlage ei- 
nes Genehmigungsinhabers nach § 7 Absatz 1 Atomgesetz, insbesondere, wenn 
diese grenzüberschreitende Auswirkungen haben können, ist in der Regel davon 
auszugehen, dass zugleich Schutzziele der nuklearen Sicherheit und Sicherung ver- 
letzt sind. Gemäß der Atomrechtlichen Sicherheitsbeauftragten- und Meldeverord- 
nung vom 14. Oktober 1992 (BGBl. I S. 1766) zuletzt geändert durch Artikel 1 der 
Verordnung vom 8. Juni 2010 (BGBl. I S. 755) sind durch Genehmigungsinhaber 
nach § 7 Absatz 1 Atomgesetz Störfälle, Unfälle und sonstige für die kerntechnische 
Sicherheit bedeutsame Ereignisse der zuständigen Aufsichtsbehörde zu melden. Die 
zugrundeliegenden Meldekriterien sind in Anlage 1 bis 5 der Atomrechtlichen Sicher- 
heitsbeauftragten- und Meldeverordnung aufgeführt. Auf europäischer Ebene beste- 
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hen Vereinbarungen zur gegenseitigen Information im Falle einer radiologischen 
Notstandssituation: die Entscheidung des Rates vom 14. Dezember 1987 über Ge- 
meinschaftsvereinbarungen für den beschleunigten Informationsaustausch im Fall 
einer radiologischen Notstandssituation (87/600/Euratom) und das Abkommen zwi- 
schen der Europäischen Atomgemeinschaft (Euratom) und Nichtmitgliedstaaten der 
Europäischen Union über die Teilnahme an Vereinbarungen in der Gemeinschaft für 
den schnellen Austausch von Informationen in einer radiologischen Notstandssituati- 
on (Ecurie) (2003/C 102/02). Durch die Einfügung in § 44b Satz 2 wird der Verweis 
zur entsprechenden Anwendung des § 8b Absatz 1, 2 und 7 für Meldeverpflichtun- 
gen nach § 44b des Atomgesetzes von kerntechnischen Anlagen (nicht nur Geneh- 
migungsinhabern nach §7 Absatz 1) dahingehend konkretisiert, dass die im 
BSI-Gesetz neu eingefügte Regelung in § 8b Absatz 2 Nummer 4 Buchstabe d) nicht 
anwendbar ist. 

§ 44b Satz 4 wird dahingehend ergänzt, dass Meldungen gemäß § 44b, die dem 
Bundesamt zugegangen sind, nicht nur unverzüglich an die für die nukleare Sicher- 
heit und Sicherung zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes 
und der Länder weiterzuleiten sind, sondern auch an die von diesen Stellen bestimm- 
ten Sachverständigen nach § 20 Atomgesetz. Damit soll eine zeitnahe Auswertung 
solcher Meldungen durch die Sachverständigen ermöglicht werden, die in der Regel 
von den zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der 
Länder beauftragt werden. Diese Ergänzung dient der Konkretisierung eines Verfah- 
rens im Bereich des Meldewesens nach § 44b, welches in anderen atomrechtlichen 
Verfahren bereits praktiziert wird. 


Zu Artikel 3 (Änderung des § 95 des Energiewirtschaftsgesetzes) 

Zu Nummer 1 (Änderung des § 11 EnWG) 

Betreiber von Energieversorgungsnetzen und Energieanlagen im Sinne des Ener- 
giewirtschaftsgesetzes unterliegen bereits nach den Vorgaben des § 1 1 EnWG den 
§§ 8a und 8b BSIG weitgehend vergleichbaren Anforderungen, die den Vorgaben 
des Artikels 14 Absatz 1 bis 3 der NIS-Richtlinie entsprechen. § 11 Absatz 1a EnWG 
stellt klar, dass die Telekommunikationssysteme und Datenverarbeitungssysteme der 
Netzbetreiber so zu schützen sind, dass ein sicherer Netzbetrieb garantiert ist. § 11 
Absatz 1b EnWG enthält entsprechende Vorgaben für die Betreiber von Energiean- 
lagen, die in der Rechtsverordnung nach § 10 Absatz 1 des BSI-Gesetzes als Kriti- 
sche Infrastruktur bestimmt wurden. Nach § 11 Absatz 1c EnWG unterliegen Betrei- 
ber von Energieversorgungsnetzen und von Energieanlagen oder Teilen davon, die 
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aufgrund der Rechtsverordnung gemäß § 10 Absatz 1 BSIG als Kritische Infrastruk- 
tur eingestuft wurden, einer Meldepflicht an das BSI als zentraler Meldestelle für Be- 
treiber Kritischer Infrastrukturen. Die Bundesnetzagentur als für die Sicherheitsstan- 
dards des Netzbetriebs zuständige Behörde überwacht die Einhaltung der jeweiligen 
Sicherheitsstandards. 

§11 Absatz 1c EnWG wird nun dahingehend geändert, dass Betreiber von Energie- 
versorgungsnetzen sowie solche Energieanlagen, die durch Rechtsverordnung als 
Kritische Infrastruktur bestimmt worden sind, zukünftig dem BSI auch Störungen der 
Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechni- 
schen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer erheb- 
lichen Beeinträchtigung geführt haben, unverzüglich melden. Diese Änderung in Ab- 
satz 1 c dient der Umsetzung von Art. 14 Absatz 3 und 4 der NIS-Richtlinie. Das Er- 
heblichkeitskriterium bezieht sich danach nicht auf den Grad des IT-Vorfalls, sondern 
auf den Grad der Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur. 

Ergänzend wird in § 11 Absatz 1c EnWG klargestellt, dass die Meldepflichten nach 
Absatz 1c Satz 1 für alle Betreiber von Energieversorgungsnetzen gelten sowie für 
solche Energieanlagen, die durch Rechtsverordnung als Kritische Infrastruktur be- 
stimmt worden sind. Diese Änderung dient lediglich der Klarstellung der Adressaten 
der Verpflichtung. Inhaltlich wirkt sich diese rein redaktionelle Änderung nicht aus. 

Zu Nummer 2 (Änderung des § 95 EnWG) 

Im EnWG waren bisher keine Sanktionen bei Verstößen gegen die Einhaltung von 
Mindestanforderungen oder die Meldepflicht nach § 11 Absatz 1a bis 1c EnWG vor- 
gesehen. Die Änderungen in § 95 Absatz 1 Nummer 2a und 2b EnWG dienen der 
Ausweitung der Bußgeldvorschriften auf die gemäß § 11 Absatz 1a und 1b EnWG 
zur Einhaltung von Sicherheitsanforderungen und Meldepflichten verpflichteten Be- 
treiber und setzen insofern die Vorgaben des Art. 21 der NIS-Richtlinie um, nach de- 
nen die Mitgliedstaaten Sanktionen für Verstöße gegen die nach der Richtlinie erlas- 
senen nationalen Bestimmungen vorsehen und die erforderlichen Maßnahmen tref- 
fen müssen, um deren Anwendung sicherzustellen. Mit der Änderung in Absatz 5 
wird das BSI, an das die Meldungen nach § 11 Absatz 1c zu richten sind, als zustän- 
dige Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über 
Ordnungswidrigkeiten bestimmt. Im Übrigen wird die Zuständigkeit der Bundesnetza- 
gentur als zuständige Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 
des Gesetzes über Ordnungswidrigkeiten beibehalten. 

Zu Artikel 4 (Änderung des Fünften Buches Sozialgesetzbuch) 
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Zu Nummer 1 (Änderung des § 291b SGB V) 

Die gematik als Betreiber der Telematikinfrastruktur nach § 291a Absatz 7 SGB V 
sowie die Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach 
§ 291b Absatz 1a und 1e SGB V zugelassenen Dienste und die Betreiber von Diens- 
ten, soweit sie die Telematikinfrastruktur für nach § 291b Absatz 1b SGB V bestätigte 
Anwendungen nutzen, unterliegen bereits nach § 291b umfassenden technischen 
und verfahrensmäßigen Vorgaben, die die Vorgaben des Artikels 14 Absatz 1 bis 3 
der NIS-Richtlinie erfüllen. § 291b Absatz 1 SGB V enthält an die gematik gerichtete 
technische und funktionale Vorgaben, einschließlich der Vorgaben zur Erstellung ei- 
nes Sicherheitskonzepts und zur Einbeziehung des BSI in die Festlegung der Vorga- 
ben für den sicheren Betrieb der Telematikinfrastruktur. 

In Absatz 1a ist das für einzelne Komponenten und Dienste erforderliche Zulas- 
sungsverfahren geregelt. In den Absätzen 1b bis 1e sind die weiteren Rahmenbedin- 
gungen für den Betrieb und die Nutzung der Telematikinfrastruktur geregelt, mit de- 
nen die Erfüllung des Auftrags der Gesellschaft für Telematik, den Betrieb und die 
Nutzung der Telematikinfrastruktur gegenüber den Betreibern von Diensten der Te- 
lematikinfrastruktur und den Betreibern von Diensten, die die Telematikinfrastruktur 
für nach § 291b Absatz 1b SGB V bestätigte Anwendungen nutzen, sicherzustellen, 
gewährleistet wird. In Absatz 6 Satz 2 bis 4 ist eine Pflicht zur Meldung erheblicher 
Störungen für die Betreiber vorgesehen. Zentrale Meldestelle ist das BSI; an das BSI 
hat die Gesellschaft für Telematik Meldungen der Betreiber von Diensten der Tele- 
matikinfrastruktur und der Betreiber von Diensten, die die Telematikinfrastruktur für 
nach § 291b Absatz 1b SGB V bestätigte Anwendungen nutzen, unverzüglich weiter- 
zuleiten. 

Die gematik sowie die Betreiber von Diensten der Telematikinfrastruktur im Hinblick 
auf die nach § 291b Absatz 1a und 1e SGB V zugelassenen Dienste und Betreiber 
von Diensten, soweit sie die Telematikinfrastruktur für nach § 291b Absatz 1b SGB V 
bestätigte Anwendungen nutzen, unterliegen zudem bereits einer Aufsicht, die teil- 
weise den Vorgaben des Artikel 15 der NIS-Richtlinie entspricht. Nach Artikel 15 Ab- 
satz 1 und 2 der NIS-Richtlinie muss die zuständige Behörde die Umsetzung der or- 
ganisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der 
informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funkti- 
onsfähigkeit Kritischer Infrastrukturen maßgeblich sind, überprüfen können und von 
den Betreibern Kritischer Infrastrukturen verlangen können, dass sie die zur Bewer- 
tung der Sicherheit ihrer Netz- und Informationssysteme erforderlichen Informatio- 
nen, einschließlich der Dokumentation der Sicherheitsmaßnahmen, zur Verfügung 
stellen. Der Nachweis für eine wirksame Umsetzung der Sicherheitsmaßnahmen 
kann wie bisher durch einen qualifizierten Prüfer erbracht werden, der die Anforde- 
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rungen nach Absatz 4 erfüllt. Für diesen Fall sieht die NIS-Richtlinie vor, dass neben 
den Ergebnissen der Überprüfung durch einen qualifizierten Prüfer auch die Nach- 
weise verlangt werden können, die diesen Ergebnissen zugrunde gelegt worden 
sind. Artikel 15 Absatz 3 der NIS-Richtlinie sieht vor, dass die zuständige Behörde 
den Betreibern verbindliche Anweisungen zur Abhilfe der festgestellten Mängel ertei- 
len kann. 

Im Rahmen ihres Auftrags, den Betrieb und die Nutzung der Telematikinfrastruktur 
sicherzustellen, verfügt die gematik über umfassende Aufsichtsbefugnisse gegen- 
über den Betreibern von Diensten der Telematikinfrastruktur und den Betreibern von 
Diensten, die die Telematikinfrastruktur für nach § 291b Absatz 1b SGB V bestätigte 
Anwendungen nutzen. Flierzu zählen neben den in den Absätzen 6 und 7 genannten 
Befugnissen zu Maßnahmen zur Gefahrenabwehr und Überwachung auch die nähe- 
re Ausgestaltung der Zulassungsverfahren. Die gematik selbst unterliegt hinsichtlich 
der Umsetzung der für sie als Betreiber der Telematikinfrastruktur nach § 291a Ab- 
satz 7 SGB V geltenden Anforderungen und Meldepflichten allerdings nur einer ein- 
geschränkten Aufsicht. Hierzu zählt insbesondere auch die Einbindung des BSI be- 
reits bei der Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfra- 
struktur, die nach Absatz 1 im Einvernehmen zu erfolgen hat, und der Zulassung von 
Komponenten und Diensten nach Absatz 1a. 

Die Festlegung der Vorgaben und der Kriterien für das Bestätigungsverfahren für 
Betreiber von Diensten und Anwendungen für die Telematikinfrastruktur, sowie die 
Vornahme von Maßnahmen zur Gefahrenabwehr und Überwachung nach Absatz 6 
und 7 erfolgen durch die gematik allerdings lediglich in Abstimmung mit dem BSI. „In 
Abstimmung“ bedeutet im Sinne der Vorschriften dabei, dass über ein Stellungnah- 
merecht hinaus ein Diskussionsprozess mit dem Ziel einer einvernehmlichen Lösung 
stattfindet. Die Einigung mit dem BSI stellt den Regelfall dar. Im Falle einer Entschei- 
dung gegen die Auffassung des BSI durch die gematik ist diese Entscheidung ge- 
sondert und nachvollziehbar zu dokumentieren und zu begründen. Mit dem neuen § 
291a Absatz 8 SGB V wird ergänzend sichergestellt, dass das BSI in diesen Fällen 
die Entscheidung prüfen und entsprechend den Vorgaben in Artikel 15 Absatz 3 der 
NIS-Richtlinie verbindliche Anweisungen zur Abhilfe der festgestellten Mängel ertei- 
len kann. In Absatz 8 werden insbesondere Sicherheitsmängel betrachtet, die zu ei- 
ner Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der infor- 
mationstechnischen Systeme, Komponenten oder Prozesse führen können. Absatz 8 
Satz 1 bezieht sich ausschließlich auf sicherheitsrelevante Informationen. 
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Zu Nummer 2 (Änderung des § 307 SGB V) 

Der neu eingefügte § 307 Absatz 1a dient der Ausweitung der Bußgeldvorschriften 
auf die gemäß § 291b Absatz 6 Satz 2 und 4 SGB V zur Einhaltung von Meldepflich- 
ten verpflichteten Betreiber und setzt insofern die Vorgaben des Artikels 21 der NIS- 
Richtlinie um, nach denen die Mitgliedstaaten der Europäischen Union Sanktionen 
für Verstöße gegen die nach der Richtlinie erlassenen nationalen Bestimmungen 
vorsehen müssen und die erforderlichen Maßnahmen treffen müssen, um deren An- 
wendung sicherzustellen. Mit der Änderung in Absatz 4 wird das BSI, an das die 
Meldungen nach § 291b Absatz 6 Satz 4 SGB V zu richten sind, als zuständige Ver- 
waltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ord- 
nungswidrigkeiten bestimmt. Die neu eingefügten Absätze 1b und 1c dienen der 
Ausweitung der Bußgeldvorschriften auf die Anweisungsempfänger gemäß des neu- 
en Absatz 8 Satz 2 und 3. 

Zu Artikel 5 (Änderung des § 109 Absatz 5 TKG) 

Mit der Änderung wird der Verweis auf Vorschriften des BSIG angepasst (Folgeände- 
rung aufgrund Neunummerierung im BSIG). 

Zu Artikel 6 (Inkrafttreten) 

Die Vorschrift regelt das Inkrafttreten des Gesetzes. 

Das Gesetz soll maximal fünf Jahre nach Inkrafttreten anhand der Konzeption zur 
Evaluierung neuer Regelungsvorhaben gemäß dem Arbeitsprogramm bessere 
Rechtsetzung der Bundesregierung vom 28. März 2012, Ziffer II. 3. evaluiert werden. 
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Anlage 2 


Stellungnahme des Nationalen Normenkontrollrates gern. § 6 Absatz 1 NKRG 

Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäi- 
schen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleis- 
tung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssys- 
temen in der Union (NKR-Nr. 3970, BMI) 

Der Nationale Normenkontrollrat hat den Entwurf des oben genannten Regelungsvorhabens 
geprüft. 


I. Zusammenfassung 


Bürgerinnen und Bürger 

keine Auswirkungen 

Wirtschaft 


Jährlicher Erfüllungsaufwand: 

13,2 Mio. EUR 

davon aus Informationspflichten: 
Einmaliger Erfüllungsaufwand: 

1 1,8 Mio. EUR (660 EUR pro Fall) 
geringfügige Auswirkungen 

Verwaltung 


Bund 


Jährlicher Erfüllungsaufwand: 

14,3 Mio. EUR 

Einmaliger Erfüllungsaufwand: 

geringfügige Auswirkungen 

Länder 

geringfügige Auswirkungen 

Umsetzung von EU-Recht 

Dem NKR liegen keine Anhaltspunkte 
dafür vor, dass mit den vorliegenden Re- 
gelungen übereine 1 :1-Umsetzung von 
EU-Recht hinausgegangen wird. 

‘One in one out’-Regel 

Aufgrund der 1:1 -Umsetzung von EU- 
Recht stellt der jährliche Erfüllungsauf- 
wand der Wirtschaft in diesem Rege- 
lungsvorhaben kein „In“ im Sinne der ,One 
in one out‘-Regel der Bundesregierung 
dar. 

Weitere Kosten 

Betreibern kritischer Infrastrukturen kön- 
nen im Sonderfall Kosten in Form von 
Gebühren und Erstattungen an das BSI 
entstehen, soweit eine zusätzliche Über- 
prüfung vor Ort erforderlich ist. 
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Evaluierung 


Das Regelungsvorhaben wird anhand der 
Konzeption zur Evaluierung neuer Rege- 
lungsvorhaben gemäß des Arbeitspro- 
gramms bessere Rechtsetzung der Bun- 
desregierung spätestens fünf Jahre nach 
Inkrafttreten evaluiert. Normenkontrollrat 
und BMI stimmen darin überein, dass die 
Evaluierung dieses Regelungsvorhabens 
zusammen mit der Evaluierung des IT- 
Sicherheitsgesetzes durchgeführt werden 
sollte. Der Normenkontrollrat hält es für 
erforderlich, dabei insbesondere zu prü- 
fen, ob die rechtlichen und untergesetzli- 
chen Maßnahmen in angemessen Ver- 
hältnis zum gewonnen Grad an IT- 
Sicherheit stehen. 


Das Ressort hat die Auswirkungen auf den Erfüllungsaufwand insgesamt nachvoll- 
ziehbar dargestellt. Der Nationale Normenkontrollrat erhebt im Rahmen seines gesetz- 
lichen Auftrags keine Einwände gegen die Darstellung der Gesetzesfolgen in dem vor- 
liegenden Regelungsentwurf. 

Der Normenkontrollrat gibt zu bedenken, dass dem BSI bereits durch das IT- 
Sicherheitsgesetz 220 Stellen zugewiesen wurden, die nun noch einmal um 181,5 
Stellen aufgestockt werden. Da es sich im Wesentlichen um denselben Aufgabenraum 
handelt, regt der Normenkontrollrat an, noch stärker zu prüfen, wie die Aufgabenwahr- 
nehmung so gestaltet werden kann, dass Synergieeffekte erschlossen und der Perso- 
nalaufwuchs gedämpft werden können. 

Neben der Regulierung durch EU- und Bundesrecht, werden Standards und Anforde- 
rungen der IT-Sicherheit maßgeblich durch das BSI (Bundesamt für Sicherheit in der 
Informationstechnik) auf untergesetzlicher Ebene bestimmt. Der Normenkontrollrat hält 
es bezogen auf das gesamte Politikfeld IT-Sicherheit für erforderlich, dass BMI und 
BSI auch auf untergesetzlicher Ebene eine aufwandsbewusste Alternativenabwägung 
durchführen und auch untergesetzliche Maßnahmen bei der Evaluierung dieses Poli- 
tikfeldes berücksichtigen, um unnötige und unverhältnismäßige Folgekosten zu ver- 
meiden. 

Der Normenkontrollrat sieht in der engen Einbeziehung der betroffenen Unternehmen 
und Verwaltungen bei der Ausgestaltung gesetzlicher, vor allem aber untergesetzlicher 
Bestimmungen eine besondere Chance, zu praktikableren Lösungen zu kommen, die 
gleichermaßen wirksam und effizient sind. Analog zu den positiven Erfahren, die zu- 
letzt mit dem „Runden Tisch rechtskonforme E-Akte“ erzielt werden konnten, sollten 
BMI und BSI auch in anderen Bereichen der IT-Sicherheit Dialogformen mit den Be- 
troffenen finden, die dabei helfen, bei der Definition technischer Richtlinien oder sons- 
tiger untergesetzlicher Vorgaben ein hohes Maß an IT-Sicherheit zu gewährleisten 
ohne unverhältnismäßigen Aufwand zu verursachen. 


II. Im Einzelnen 

Im August 2016 trat die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des 
Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen 
Sicherheitsniveaus von Netz- und Informationssystemen in der Union, die sog. NIS-RL in 
Kraft. Mit der Richtlinie wurden ein einheitlicher europäischer Rechtsrahmen für den EU- 
weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit, eine stärkere Zusammenar- 
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beit der Mitgliedstaaten und Mindestanforderungen sowie Meldepflichten für bestimmte 
Dienste geschaffen. Ziel ist es, einheitliche Maßnahmen festzulegen, mit denen ein hohes 
Sicherheitsniveau von Netz- und Informationssystemen in der Europäischen Union erreicht 
werden kann. 

Die europarechtlichen Vorgaben werden im Rahmen einer Anpassung des Gesetzes über 
das Bundesamt für Sicherheit in der Informationstechnik (BSIG) sowie bestimmter - für ein- 
zelne Branchen mit kritischen Infrastrukturen vorrangiger - Spezialgesetze umgesetzt: Ge- 
setz über die friedliche Verwendung der Kernenergie und den Schutz gegen ihre Gefahren 
(AtG), Gesetz über die Elektrizitäts- und Gasversorgung (EnWG), Fünften Buch Sozialge- 
setzbuch - Gesetzliche Krankenversicherung (SGB V). 

Zur Umsetzung der NIS-RL werden die Befugnisse des BSI zur Überprüfung der Einhaltung 
der technischen und organisatorischen Sicherheitsanforderungen und die Nachweispflicht 
der Betreiber um Vorgaben für das Verfahren bei grenzüberschreitenden IT-Sicherheits- 
Vorfällen angepasst. Ergänzend werden Regelungen zu Mobilen Incident und Response 
Teams (MIRTs) aufgenommen, mit denen das BSI andere Stellen bei der Wiederherstellung 
ihrer IT-Systeme unterstützen soll. Zudem werden das BSIG um eine Definition der digitalen 
Dienste sowie spezielle Regelungen zu Sicherheitsanforderungen, Meldepflichten und Auf- 
sicht im Hinblick auf die Anbieter digitaler Dienste ergänzt und Bußgeldvorschriften ange- 
passt. 

Ergänzt wird eine Ermächtigung zum Erlass von Rechtsverordnungen zur Umsetzung der in 
Art. 16 der Richtlinie (EU) 2016/1148 vorgesehenen Durchführungsrechtsakte. Zusätzlich 
werden mit dem Gesetzentwurf Klarstellungen, Bereinigungen und Anpassungen zu Unter- 
stützungsaufgaben des BSI vorgenommen. 

11.1 Erfüllungsaufwand 

Das Ressort hat die Auswirkungen auf den Erfüllungsaufwands nachvollziehbar dargestellt. 
Die Angaben beruhen im Wesentlichen auf Schätzungen des BSI und Rückmeldungen aus 
der Verbändeanhörung. Sie orientieren sich zudem an vergleichbaren Aufwandsermittlun- 
gen, die bereits für das IT-Sicherheitsgesetz durchgeführt worden sind. 

Bürgerinnen und Bürger 

Bürgerinnen und Bürger sind nicht betroffen. 


Wirtschaft 
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Die Wirtschaft ist durch die gesetzlichen Maßnahmen wie folgt betroffen: 

• Den Betreibern von Energieversorgungsnetzen und Energieaniagen, bestimmten Te- 
iekommunikationsanbietern sowie der Geseiischaft für Teiematikanwendungen ent- 
steht Aufwand für das Betreiben einer Kontaktstelle. Die Verpflichtung trifft damit ca. 
300 Betreiber und wird zu einem gewissen Mehraufwand führen, soweit dort noch 
keine entsprechende Kontaktstelle vorhanden ist. Diese Betreiber sind jedoch bereits 
heute schon verpflichtet, Informationen zur IT-Sicherheit auszuwerten und in ihren 
Prozessen zu berücksichtigen, sodass der Mehraufwand im Wesentlichen in der for- 
malen Benennung einer Kontaktstelle gegenüber dem BSI besteht und insgesamt als 
marginal anzusehen ist. 

• Den Betreibern von Energieversorgungsnetzen und Energieaniagen entsteht Auf- 
wand durch die Ausweitung von Meldepflichten an das BSI auf alle Betreiber von 
Energieversorgungsnetzten (ca. 1.600); während bisher nur ca. 45 als tatsächliche 
KRITIS-Betreiber eingestufte Netzbetreiber betroffen waren. Bei einem Aufwand von 
660 EUR pro Fall und 7 Fällen pro Anbieter und Jahr (Werte wurde im Rahmen des 
IT-Sicherheitsgesetzes vom 17. Juli 2015 ermittelt) ergibt sich für 1.555 zusätzlich 
Betroffene ein Aufwand von ca. 7,16 Mio. EUR pro Jahr. 

• Der Geseiischaft für Teiematikanwendungen und sonstigen Betreibern Kritischer Inf- 
rastrukturen entsteht Aufwand für die Unterstützung des BSI bei der Prüfung der Er- 
füllung von Sicherheitsanforderungen (Zugang gewähren, Unterlagen bereitstellen, 
Auskünfte erteilen). Diese Prüfungen erfolgen stichprobenartig bzw. im anlassbezo- 
genen Einzelfall. Bei der Prüfung von ca. 100 Anlagen pro Jahr (ca. 2.000 Anlagen 
insgesamt) und bei einem Aufwand von geschätzt bis zu 35.000 EUR pro Fall ent- 
steht ein Gesamtaufwand von 3,5 Mio. EUR pro Jahr. 

• Anbietern digitaler Dienste entsteht Aufwand für die Sicherung ihrer technischen Ein- 
richtungen entsprechend des Stands der Technik. Verlässliche Angaben zur Zahl der 
betroffenen Anbieter sowie zum Stand des derzeitigen Sicherheitsniveaus liegen 
nicht vor. In einer ersten Annäherung wird von 500 bis 1 .500 betroffenen Anbietern 
ausgegangen, die ihren Sitz in Deutschland haben. Betroffen sind darüber hinaus 
auch ausländische Anbieter ohne Sitz in Deutschland. Deren Zahl konnte vom Ress- 
ort nicht geschätzt werden. 

Die konkrete Fallzahl und der eigentliche Aufwand für die Umsetzung von Maßnah- 
men zur Sicherung technischer Einrichtungen sind von der Definition bestimmter 
Schwellwerte (z.B. Ausfallzeiten, geografische Ausbreitung eines Störfalls) und vom 
konkret erforderlichen Sicherheitsniveau abhängig. Beides wird jedoch erst durch 
Durchführungsrechtsakte der Kommission festgelegt werden (voraussichtlich im Lau- 
fe 2017). Da Informationstechnik für Betreiber von digitalen Diensten das Kernge- 
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schäft darstellt, und diese zudem durch datenschutzrechtliche Vorgaben bereits zur 
Gewährleistung eines hinreichenden Niveaus an Datensicherheit verpflichtet sind, ist 
allerdings davon auszugehen, dass an das IT-Sicherheitsniveau bei digitalen Diens- 
ten bereits hohe Anforderungen gestellt, diese bereits umgesetzt und insofern keine 
nennenswerten zusätzlichen Kosten entstehen werden. 

Aus Sicht des NKR ist es ausreichend, mögliche Aufwände im Zuge der Nachmes- 
sung des Erfüllungsaufwands zu erfassen, die vom Statistischen Bundesamt zwei 
Jahre nach Inkrafttreten turnusmäßig durchgeführt wird. 

• Anbietern digitaler Dienste entsteht Aufwand für die Einrichtung und Aufrechterhal- 
tung von Verfahren für die Meldung von erheblichen IT-Sicherheitsvorfällen an das 
BSI. Auch hier wird von ca. 1.000 betroffenen Anbietern ausgegangen. Bei einem 
Aufwand von 660 EUR pro Fall und 7 Fällen pro Anbieter und Jahr (Werte wurde im 
Rahmen des IT-Sicherheitsgesetzes vom 17. Juli 2015 ermittelt) ergeben sich Ge- 
samtkosten für die Meldepflicht in Höhe von rund 4,6 Mio. EUR pro Jahr. 

• Die Angabe zusätzlicher Informationen im Falle einer grenzüberschreitenden Wirkung 
von Sicherheitsvorfällen führt bei den Betreibern Kritischer Infrastrukturen (ca. 2.000) 
und den Anbietern digitaler Dienste (ca. 1.000) zu keinen relevanten Mehraufwänden, 
da diese Informationen vom BSI in der Praxis bereits abfragt werden. 

Für Klein- und Kleinstunternehmen gelten gewissen Ausnahmen, die für diese Unternehmen 
zu einer insgesamt geringeren Belastung führen. Diese Ausnahmen sind bereits in der EU- 
Richtlinie vorgesehen und werden 1:1 ins deutsche Recht übernommen. 


Betreibern kritischer Infrastrukturen können im Sonderfall nach § 8a Absatz 3 Satz 3 BSIG 
Kosten in Form von Gebühren und Erstattungen an das BSI entstehen, soweit berechtigte 
Zweifel an der ordnungsgemäßen Einhaltung der ihnen obliegenden Sicherheitsanforderun- 
gen bestehen, die eine zusätzlich Überprüfung des BSI vor Ort erforderlich machen. 

Verwaltung Bund 

Bereits durch das IT-Sicherheitsgesetz vom 17. Juli 2015 erhielt das BSI zusätzliches Per- 
sonal für seine Funktion als zentrale Anlaufstelle für Betreiber Kritischer Infrastrukturen (220 
Planstellen, ca. 16 Mio. EUR pro Jahr). Der im Weiteren aufgeführte Erfüllungsaufwand ent- 
steht zusätzlich im Rahmen der Umsetzung der EU-Richtlinie. Es entstehen Personalauf- 
wand in Höhe von jährlich rund 13,9 Mio. EUR (181 ,5 Stellen) sowie geringfügige Sachkos- 
ten. 
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Der Personalbedarf des BSI begründet sich im Wesentlichen wie folgt. Die Darstellung fasst 
eine detaillierte Personalbedarfsschätzung zusammen, die dem NKR Vorgelegen hat: 

• reaktive Maßnahmen für eine schnelle und sachkundige Zurückführung angegriffener 
Netze in einen „sauberen“ Zustand durch Mobile Incident Response Teams (MIRTs) 
und Unterstützung der Bundesbehörden bei der Bewältigung von Sicherheitsvorfäl- 
len: 63 Stellen 

• Neue Aufgaben und Befugnisse in Bezug auf Anbieter von Digitalen Diensten und 
Ausweitung des BSI-Meldewesens auf diese Anbieter (u.a. Auswertung von Meldun- 
gen, Erstellung von Lagebildern und Warnungen, Auswertung von Sicherheitskon- 
zepten der Anbieter) sowie Erweiterung der Grundlagenarbeit und Fachkompetenz im 
Bereich digitaler Dienste, d.h. Aufbau von Fachexpertise für Funktionsweise und Ar- 
chitektur der jeweiligen digitalen Dienste, zur Auswertung von in der Meldestelle ein- 
gehenden Informationen, zum Fortschreiben des Lagebildes und zur Vorhersage der 
potentiellen Auswirkungen einer Meldung oder Störung auf die betroffene Kritische 
Infrastruktur oder ihre Branche: 51 Stellen 

• Erweiterung der Befugnisse des BSI zur Kontrolle der Umsetzung angemessener 
technischer und organisatorischer Vorkehrungen zur Vermeidung von Störungen der 
relevanten IT-Systeme von kritischen Infrastrukturen (KRITIS): 20 Stellen 

• Ausdehnung der BSI-Meldepflichten auf alle Energienetze: 21 ,5 Stellen 

• Ausbau der operativen grenzüberschreitende Zusammenarbeit und des Informations- 
austauschs über grenzüberschreitende IT-Störungen, Berichtspflichten gegenüber 
der Kommission, Bestimmung der Kritischen Infrastrukturen mit grenzübergreifendem 
Versorgungsgebiet sowie fachliche Unterstützung zur Koordinierung und Angleichung 
von Vorgaben auf europäischer Ebene: 9,5 Stellen 

• Bearbeitung von Ordnungswidrigkeiten als zuständige Verwaltungsbehörde: 10 Stel- 
len 

• Unterstützung der Länder über eine koordinierende Geschäftsstelle: 6,5 Stellen 

Beim BMI entsteht ein Erfüllungsaufwand von insgesamt 4 Planstellen mit Personalkosten in 
Höhe von jährlich rund 420.000 EUR zur Wahrnehmung der gestiegenen Anforderungen an 
die Fachaufsicht über das BSI sowie zur Mitwirkung an drei neuen EU-Gremien (NIS- 
Expertengruppe, NIS-Committe, NIS-Kooperationsgruppe). 

Verwaltung Länder (Kommunen) 

Den Ländern und Kommunen kann Erfüllungsaufwand durch die Anpassung der Aufsichts- 
befugnisse des BSI und die Ausweitung von Registrierungs- und Meldepflichten gegenüber 
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Anbietern Digitaler Dienste entstehen, zu denen auch Anbieter der öffentlichen Hand zählen 
können. Der den Ländern und Kommunen entstehende Erfüllungsaufwand ist nach Aussage 
des Ressorts derzeit nicht bezifferbar, da die Zahl möglicherweise betroffener öffentlicher 
Anbieter Digitaler Dienste nicht bekannt ist. Angesichts verschiedener Ausnahmetatbestände 
geht das Ressort von wenigen Betroffen und damit von insgesamt geringfügigen Auswirkun- 
gen auf die Länder aus. Konkrete Aufwandsschätzungen, die andere Annahmen zulassen, 
wurden von Seiten der Länder nicht vorgelegt. 


11.2 Rechts- und Verwaltungsvereinfachung 

Neben der Regulierung durch EU- und Bundesrecht werden Standards und Anforderungen 
der IT-Sicherheit maßgeblich durch das BSI (Bundesamt für Sicherheit in der Informations- 
technik) bestimmt. D.h. auf untergesetzlicher Ebene werden technische Richtlinien, Leitfäden 
und Orientierungshilfen entwickelt, die die allgemeinen rechtlichen Vorgaben auskleiden und 
ihre praktische Umsetzung definieren. Aus Sicht des NKR besteht die Gefahr, dass durch 
diese untergesetzlich regulierten Anforderungen und Maßnahmen der IT-Sicherheit Aufwän- 
de bei Wirtschaft und Verwaltung hervorgerufen werden, die unter Umständen nicht mehr 
verhältnismäßig sind und bei der Erfüllungsaufwandsabschätzung nicht ausreichend berück- 
sichtigt werden. Der NKR hält es für erforderlich, dass BMI und BSI auch auf untergesetzli- 
cher Ebene eine aufwandsbewusste Alternativenabwägung durchführen, um unnötige und 
unverhältnismäßige Folgekosten zu vermeiden. 

11. 3 Umsetzung von EU-Recht 

Der Gesetzentwurf dient der Umsetzung der EU-Richtlinie über Maßnahmen zur Gewährleis- 
tung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in 
der Union (NIS-RL). Dem NKR liegen keine Anhaltspunkte dafür vor, dass mit dem Vorhaben 
über die Umsetzung der NIS-RL hinaus weitere Regelungen mit Auswirkungen auf den Erfül- 
lungsaufwand getroffen werden sollen (1:1-Umsetzung). 

11.4 ,One in one Out‘-Regel 

Aufgrund der 1:1-Umsetzung von EU-Recht stellt der jährliche Erfüllungsaufwand der Wirt- 
schaft in diesem Regelungsvorhaben kein „In“ im Sinne der ,One in one out‘-Regel der Bun- 
desregierung dar. 
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11.5 Evaluierung 

Das Regelungsvorhaben wird anhand der Konzeption zur Evaluierung neuer Regelungsvor- 
haben gemäß des Arbeitsprogramms bessere Rechtsetzung der Bundesregierung spätes- 
tens fünf Jahre nach Inkrafttreten evaluiert. Normenkontrollrat und BMI stimmen darin über- 
ein, dass die Evaluierung dieses Regelungsvorhabens zusammen mit der Evaluierung des 
IT-Sicherheitsgesetzes durchgeführt werden sollte. Der Normenkontrollrat hält es für erfor- 
derlich, dabei insbesondere zu prüfen, ob die rechtlichen und untergesetzlichen Maßnahmen 
in angemessen Verhältnis zum gewonnen Grad an IT-Sicherheit stehen. 


III. Zusammenfassung 

Das Ressort hat die Auswirkungen auf den Erfüllungsaufwand insgesamt nachvollziehbar 
dargestellt. Der Nationale Normenkontrollrat erhebt im Rahmen seines gesetzlichen Auftrags 
keine Einwände gegen die Darstellung der Gesetzesfolgen in dem vorliegenden Regelungs- 
entwurf. 

Der Normenkontrollrat gibt zu bedenken, dass dem BSI bereits durch das IT- 
Sicherheitsgesetz 220 Stellen zugewiesen wurden, die nun noch einmal um 181,5 Stellen 
aufgestockt werden. Da es sich im Wesentlichen um denselben Aufgabenraum handelt, regt 
der Normenkontrollrat an, noch stärker zu prüfen, wie die Aufgabenwahrnehmung so gestal- 
tet werden kann, dass Synergieeffekte erschlossen und der Personalaufwuchs gedämpft 
werden können. 

Neben der Regulierung durch EU- und Bundesrecht, werden Standards und Anforderungen 
der IT-Sicherheit maßgeblich durch das BSI (Bundesamt für Sicherheit in der Informations- 
technik) auf untergesetzlicher Ebene bestimmt. Der Normenkontrollrat hält es bezogen auf 
das gesamte Politikfeld IT-Sicherheit für erforderlich, dass BMI und BSI auch auf unterge- 
setzlicher Ebene eine aufwandsbewusste Alternativenabwägung durchführen und auch un- 
tergesetzliche Maßnahmen bei der Evaluierung dieses Politikfeldes berücksichtigen, um un- 
nötige und unverhältnismäßige Folgekosten zu vermeiden. 

Der Normenkontrollrat sieht in der engen Einbeziehung der betroffenen Unternehmen und 
Verwaltungen bei der Ausgestaltung gesetzlicher, vor allem aber untergesetzlicher Bestim- 
mungen eine besondere Chance, zu praktikableren Lösungen zu kommen, die gleicherma- 
ßen wirksam und effizient sind. Analog zu den positiven Erfahren, die zuletzt mit dem „Run- 
den Tisch rechtskonforme E-Akte“ erzielt werden konnten, sollten BMI und BSI auch in ande- 
ren Bereichen der IT-Sicherheit Dialogformen mit den Betroffenen finden, die dabei helfen, 
bei der Definition technischer Richtlinien oder sonstiger untergesetzlicher Vorgaben ein ho- 
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hes Maß an IT-Sicherheit zu gewährleisten ohne unverhältnismäßigen Aufwand zu verursa- 
chen. 


Dr. Ludewig 


Prof. Kuhlmann 


Vorsitzender 


Berichterstatterin 


